事件经过
2026年5月22日,Anthropic发布了Project Glasswing的初始更新,并启动了公共协调漏洞披露(CVD)仪表板,显示Claude Mythos Preview已自主发现了广泛使用软件中超过10,000个高危或严重级别的漏洞,其中1,596个已披露给281个开源项目的维护者,经Trail of Bits、ADA Logics和Calif.io等外部安全研究公司确认的真阳性率为90.8%。在披露的发现中,97个已被修补,88个已分配CVE或GHSA标识符;值得注意的CVE包括一个17年历史的FreeBSD RCE(CVE-2026-4747)和与Mozilla合作发现的Firefox漏洞。该模型仍对约50个合作伙伴组织(AWS、Apple、Google、Microsoft、Cisco、NVIDIA、CrowdStrike、JPMorgan Chase)保持受限访问,因为Anthropic以灾难性武器化风险为由永久性地拒绝公开发布。
影响分析
这是第一个记录具有外部公司验证真阳性率的大规模AI驱动自主漏洞发现的供应商出版物;它从根本上改变了攻击性和防御性漏洞研究的经济学。瓶颈已从发现漏洞转向人工速度的补丁分类和协调——Cloudflare对Mythos的分析指出,它能自主构建多漏洞利用链,维护者已要求Anthropic放缓披露速度,因为补丁容量已成为新的约束。随着90天披露窗口开始关闭,安全团队现在必须为来自基础OSS(浏览器、TLS库、内核)的突发性补丁投放做好计划。
适用范围
所有依赖开源软件进行AI基础设施或一般使用的组织都应加强对Firefox、wolfSSL、nginx、FreeBSD、libyang、mastodon和freerdp的补丁节奏监控。评估前沿AI用于漏洞发现的安全团队应将Glasswing的90.8% TPR作为类似内部程序的参考基准。CISO应向其董事会汇报,补丁窗口压缩——从CVE披露到工作漏洞利用——现在以小时而非周计算。