事件经过
Anthropic的5月22日Project Glasswing更新(The Register在5月25日进行了深度报道)披露,约50个合作伙伴使用Claude Mythos Preview在一个月内发现了超过10,000个高/严重级别漏洞,而Anthropic自己对1,000+项目的开源扫描产生了6,202个高/严重级别候选漏洞——其中独立审查样本的90.6%被确认为真阳性。关键的是,Anthropic将其公开立场从"我们不会发布Mythos"转变为"在不久的将来,一旦我们开发出更强的保护措施,我们期待通过通用版本提供Mythos级别的模型",这表明扩展到美国和盟国政府合作伙伴将是下一步。
影响分析
这是一个双面风险信号:让Cloudflare发现2,000个漏洞和Mozilla修补271个Firefox缺陷的同样能力最终将被对手获得,将利用时间压缩至接近零。安全瓶颈已从结构上从漏洞发现转向补丁吞吐量——补丁周期为30-90天的组织面临着不断增长的暴露窗口,因为AI发现的缺陷积累速度超过了修复速度。
适用范围
所有运行开源软件依赖项的组织、关键基础设施运营商和金融机构都应立即审查补丁周期SLA并投资于自动化补丁测试管道。咨询团队应使用Glasswing发布的CVD仪表板来识别其客户的关键依赖项是否在Anthropic的1,000+扫描项目中。