引言
今天,我们宣布启动 Project Glasswing1。这是一项全新计划,汇聚 Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA 和 Palo Alto Networks,共同保护全球最关键的软件系统。
我们发起 Project Glasswing,是因为在 Anthropic 训练的一款新前沿模型中观察到一些能力,我们相信这些能力可能会重塑网络安全格局。Claude Mythos2 Preview 是一款通用型、尚未发布的前沿模型,它揭示了一个严峻事实:AI 模型的编程能力已经达到一个水平,在发现和利用软件漏洞方面,除最顶尖的人类专家外,已可超越多数人。
Mythos Preview 已经发现了数千个高危漏洞,其中一些存在于所有主流操作系统与网页浏览器。按 AI 当前进展速度,这类能力很快就会扩散,甚至可能超出那些愿意安全部署它们的参与者范围。其后果可能对经济、公共安全和国家安全造成严重冲击。Project Glasswing 正是一次紧迫的行动,目标是把这些能力优先用于防御。
在 Project Glasswing 框架下,上述启动合作伙伴将把 Mythos Preview 纳入防御性安全工作。Anthropic 也会共享我们的发现,让整个行业受益。我们还将访问权限扩展给 40 多家额外机构,这些机构负责构建或维护关键软件基础设施,它们可使用该模型扫描并加固自有系统与开源系统。Anthropic 将在这些工作中提供最高 1 亿美元的 Mythos Preview 使用额度,并向开源安全组织直接捐赠 400 万美元。
Project Glasswing 只是起点。没有任何单一组织能独自解决这些网络安全问题。前沿 AI 开发者、其他软件公司、安全研究人员、开源维护者以及全球各国政府都扮演着关键角色。守护全球网络基础设施的工作可能需要多年,而前沿 AI 能力在未来几个月内就可能显著跃迁。网络防御方若想保持领先,必须立刻行动。
AI 时代的网络安全
我们每天依赖的软件,负责运行银行系统、存储医疗记录、连接物流网络、保障电网运行等等,一直都存在缺陷。很多是小问题,但也有一些是严重安全漏洞,一旦被发现,攻击者就可能劫持系统、干扰运营或窃取数据。
我们已经见证了网络攻击对关键企业网络、医疗系统、能源基础设施、交通枢纽以及全球各地政府机构信息安全带来的严重后果。在全球层面,中国、伊朗、朝鲜、俄罗斯等行为体发起的国家支持型攻击,已经威胁到支撑民生和军事准备的基础设施。即便是规模较小的攻击,例如针对单个医院或学校的攻击,也会造成可观经济损失、泄露敏感数据,甚至危及生命。当前全球网络犯罪的财务成本难以精确估算,但每年可能约为 5000 亿美元。
许多软件缺陷之所以多年未被发现,是因为定位并利用它们长期依赖少数高水平安全专家的能力。而随着最新前沿 AI 模型出现,发现和利用软件漏洞所需的成本、精力和专业门槛都大幅下降。过去一年中,AI 模型在阅读和推理代码方面持续提升,尤其展现出识别漏洞并推演利用方式的突出能力。Claude Mythos Preview 在这类网络能力上实现了跃迁,它发现的某些漏洞经历了数十年人工审查和数百万次自动化安全测试仍未暴露,而它构造的利用链也愈发复杂。
距首届 DARPA Cyber Grand Challenge 十年后,前沿 AI 模型如今已在漏洞发现与利用上开始与最强人类竞争。如果缺少必要安全护栏,这些强大的网络能力可能被用于利用全球关键软件中大量现存缺陷。这会让各类网络攻击更频繁、更具破坏性,也会增强美国及其盟友对手的攻击能力。因此,解决这些问题已成为民主国家的重要安全优先级。
尽管 AI 增强型网络攻击风险严峻,我们仍有理由保持乐观。让 AI 在错误主体手中危险的同一组能力,也使其在发现并修复关键软件缺陷,以及构建安全缺陷更少的新软件方面极其宝贵。Project Glasswing 是关键一步,目标是在即将到来的 AI 驱动网络安全时代,为防御者建立可持续优势。
使用 Claude Mythos Preview 识别漏洞与利用链
过去几周里,我们使用 Claude Mythos Preview 识别了数千个零日漏洞,也就是此前软件开发者并不知晓的缺陷,其中许多属于关键级,覆盖了所有主流操作系统和所有主流网页浏览器,以及其他一系列重要软件。
在我们的 Frontier Red Team 博客文章中,我们披露了其中一部分已完成修补漏洞的技术细节,以及在部分案例中 Mythos Preview 找到的利用方式。模型几乎在没有人工引导的情况下,自主识别了这些漏洞中的绝大多数,并开发了许多关联利用链。以下是三个例子:
- Mythos Preview 在 OpenBSD 中发现了一个存在 27 年的漏洞。OpenBSD 一直被视为全球加固程度最高的操作系统之一,常用于运行防火墙及其他关键基础设施。该漏洞使攻击者仅通过建立连接,就可远程让任何运行该系统的机器崩溃。
- 它还在 FFmpeg 中发现了一个存在 16 年的漏洞。FFmpeg 被无数软件用于视频编解码,而漏洞所在代码行曾被自动化测试工具命中 500 万次,却始终未被发现。
- 该模型还在 Linux 内核,也就是驱动全球大多数服务器的核心软件中,自主发现并串联多个漏洞,使攻击者能够从普通用户权限提升到对整台机器的完全控制。
我们已将上述漏洞报告给相关软件维护者,目前均已完成修复。对于许多其他漏洞,我们今天先公布其细节的加密哈希(见 Red Team 博客),并将在补丁上线后公开具体信息。
CyberGym 等评测基准进一步体现了 Mythos Preview 与我们次优模型 Claude Opus 4.6 之间的显著差距:
网络安全漏洞复现能力
Mythos Preview
83.1%
Opus 4.6
66.6%
除我们自身工作外,许多合作伙伴也已连续数周使用 Claude Mythos Preview。以下是他们的反馈:
“AI 能力已经跨过门槛,关键基础设施防护所需的紧迫性被彻底改写,而且已经不可能回到过去。我们围绕这些模型开展的基础性工作表明,我们可以以前所未有的速度和规模,在硬件与软件层面识别并修复安全漏洞。这是一次深刻转变,也明确说明旧有系统加固方式已不足以应对新局面。技术提供方必须现在就激进采用新方法,客户也需要准备好部署。这正是 Cisco 加入 Project Glasswing 的原因,这项工作太重要、也太紧迫,无法独自完成。”
“在 AWS,我们会在威胁出现前构建防线,从自研芯片一直到整套技术栈。对我们而言,安全不是某个阶段,而是持续且嵌入一切工作的能力。我们的团队每天分析超过 400 万亿条网络流量以识别威胁,AI 是我们实现规模化防御的核心。我们已经在自身安全运营中测试 Claude Mythos Preview,并将其应用到关键代码库,它已在帮助我们加固代码。我们会把深厚安全经验投入与 Anthropic 的合作,并共同增强 Claude Mythos Preview,让更多组织在更高安全标准下推进最有雄心的工作。”
“当网络安全不再受纯人力能力上限约束时,负责任地使用 AI 在规模上提升安全、降低风险的机会前所未有。加入 Project Glasswing 并获得 Claude Mythos Preview 的访问权限,让我们能够更早识别与缓解风险,并增强我们的安全与开发方案,从而更好保护客户与 Microsoft。在 CTI-REALM 这一开源安全基准上的测试中,Claude Mythos Preview 相较此前模型取得了显著提升。我们期待与 Anthropic 及更广泛行业合作,改善所有人的安全结果。”
Igor Tsyganskiy
微软网络安全与 Microsoft Research 执行副总裁
“从漏洞被发现到被对手利用的窗口期已经塌缩。过去要几个月的事,在 AI 时代可能几分钟就会发生。Claude Mythos Preview 展示了防御者如今可在规模上实现的能力,而对手必然也会尝试利用同样能力。这不是放慢脚步的理由,而是更快协同行动的理由。想部署 AI,就必须先有安全。这也是 CrowdStrike 从第一天就参与此项目的原因。”
“过去,安全专业能力常常只是大型安全团队才能享有的‘奢侈品’。而支撑全球大量关键基础设施的开源维护者,长期以来往往只能独自应对安全问题。现代系统中的绝大部分代码都来自开源,包括 AI 代理用于编写新软件的那些系统本身。通过让这些关键开源代码库维护者获得新一代 AI 模型能力,并在规模上主动识别和修复漏洞,Project Glasswing 提供了一条可信路径来改写这一局面。这正是 AI 增强型安全应有的样子,成为每位维护者都可依赖的可信副手,而不只属于能负担昂贵安全团队的组织。”
“提升金融体系的网络安全与韧性是 JPMorganChase 使命的核心,我们也相信,领先机构围绕共同挑战展开协作,行业才会更强。Project Glasswing 提供了一个独特的早期机会,让我们能够按自身标准并与受尊敬的技术领导者一起,评估面向关键基础设施防御网络安全的下一代 AI 工具。我们将以严谨且独立的方式决定如何推进,以及我们可以在哪些方面提供帮助。Anthropic 的倡议体现了这个时刻所需的前瞻性与协作精神。”
Pat Opet
JPMorganChase 首席信息安全官
“Google 很高兴看到这一跨行业网络安全倡议落地,并通过 Vertex AI 向参与方提供 Mythos Preview。无论是后量子密码学、负责任的零日披露、安全开源软件,还是针对 AI 攻击的防御,行业协作始终至关重要。我们长期认为,AI 在网络防御上既带来新挑战,也带来新机会,这也是我们构建 Big Sleep、CodeMender 等 AI 安全工具来发现并修复关键软件缺陷的原因。我们将继续投入领先的网络安全平台,并坚持以保护用户、客户、生态系统和国家安全为核心的文化。”
“过去几周,我们获得了 Claude Mythos Preview 的访问权限,并用它识别了许多上一代模型完全遗漏的复杂漏洞。这不仅是发现隐藏漏洞的游戏规则改变者,也预示着一个危险变化,攻击者很快就能比以往更快发现更多零日漏洞并开发利用链。很明确,这些模型必须尽快交到各地开源所有者和防御者手中,在攻击者获得同等能力之前先修复问题。更重要的是,所有人都要为 AI 辅助攻击者做好准备。攻击会更多、更快,也更复杂。现在就是在各处现代化网络安全技术栈的时机。我们赞赏 Anthropic 与行业协作,确保这些强大能力优先服务于防御。”
Claude Mythos Preview 的强大网络能力,来自其突出的代理式编码与推理能力。例如在下方评测结果中,该模型在多项软件编程任务上都取得了目前已发布模型中的最高分。
Mythos Preview
77.8%
Opus 4.6
53.4%
Mythos Preview
82.0%
Opus 4.6
65.4%
Mythos Preview
59.0%
Opus 4.6
27.1%
Mythos Preview
87.3%
Opus 4.6
77.8%
Mythos Preview
93.9%
Opus 4.6
80.8%
- SWE-bench Verified、Pro 和 Multilingual:我们的记忆化筛查会标记这些 SWE-bench 评测中的一部分题目。剔除存在记忆化迹象的问题后,Mythos Preview 相对 Opus 4.6 的领先幅度依然成立。
- SWE-bench Multimodal:我们对 Mythos Preview 与 Opus 4.6 均使用内部实现,分数不能与公开榜单直接比较。
- Terminal-Bench 2.0:我们使用 Terminus-2 harness,并在最高 effort 的自适应思考模式下,为每个任务设定 100 万 token 总预算。所有实验均采用 1× guaranteed / 3× ceiling 的资源配置,并对每个任务五次尝试取平均。将超时上限提高到 4 小时并采用 Terminal-Bench 2.1 更新后,Mythos Preview 得分为 92.1%。
Mythos Preview
94.6%
Opus 4.6
91.3%
Mythos Preview without tools
56.8%
Opus 4.6 without tools
40.0%
Mythos Preview with tools
64.7%
Opus 4.6 with tools
53.1%
Humanity’s Last Exam:我们发现 Mythos 在低 effort 设置下在 HLE 仍表现出色,这可能意味着一定程度的记忆化。
Mythos Preview
86.9%
Opus 4.6
83.7%
Mythos Preview
79.6%
Opus 4.6
72.7%
BrowseComp:Claude Mythos Preview 在仅使用 Opus 4.6 的 1/4.9 tokens 的情况下,得分更高。
关于该模型能力、安全属性与总体特征的更多信息,请参阅 Claude Mythos Preview system card。
我们不计划将 Claude Mythos Preview 向公众普遍开放,但我们的最终目标是让用户能够在规模化场景中安全部署 Mythos 级模型,不仅用于网络安全,也用于这类高能力模型将带来的众多其他价值。为实现这一点,我们需要在网络安全等护栏上持续推进,以检测并阻断模型最危险的输出。我们计划在即将发布的一款 Claude Opus 模型上推出新护栏,在风险级别低于 Mythos Preview3 的模型上先行完善与迭代。
Project Glasswing 的后续计划
今天的发布只是长期工作的开端。要真正成功,必须获得整个科技行业及更广范围的广泛参与。
Project Glasswing 合作伙伴将获得 Claude Mythos Preview 的访问权限,用于定位并修复其基础系统中的漏洞与薄弱点,而这些系统构成了全球共享网络攻击面的很大部分。我们预计这项工作将集中在本地漏洞检测、二进制黑盒测试、端点加固和系统渗透测试等任务上。
Anthropic 为 Project Glasswing 及额外参与方承诺的 1 亿美元模型使用额度,将覆盖本次研究预览期间的大量使用。之后,参与方可按每百万输入/输出 token 25 美元/125 美元的价格继续使用 Claude Mythos Preview(可通过 Claude API、Amazon Bedrock、Google Cloud Vertex AI 和 Microsoft Foundry 访问)。
除模型额度承诺外,我们还通过 Linux Foundation 向 Alpha-Omega 与 OpenSSF 捐赠 250 万美元,并向 Apache Software Foundation 捐赠 150 万美元,帮助开源软件维护者应对不断变化的格局(有意申请访问权限的维护者可通过 Claude for Open Source 项目申请)。
我们希望这项工作持续扩展并在未来数月推进,也会尽可能分享经验,便于其他组织将这些教训应用到自身安全实践。合作伙伴也将尽其所能彼此共享信息与最佳实践。在 90 天内,Anthropic 将公开报告我们的阶段性学习成果、已修复漏洞,以及可披露的改进内容。我们还将与领先安全组织协作,提出一套 AI 时代安全实践演进的可操作建议,可能包括:
- 漏洞披露流程;
- 软件更新流程;
- 开源与供应链安全;
- 软件开发生命周期与 secure-by-design 实践;
- 受监管行业标准;
- 分诊扩展与自动化;以及
- 补丁自动化。
Anthropic 也一直与美国政府官员就 Claude Mythos Preview 及其攻防网络能力进行持续讨论。正如上文所述,关键基础设施安全是民主国家的国家安全首要任务,而这些网络能力的出现进一步说明美国及其盟友必须在 AI 技术上保持决定性领先。政府在维持这种领先,以及评估与缓解 AI 模型相关国家安全风险方面,具有不可替代的作用。我们已准备好与地方、州和联邦层面的代表合作,共同推进这些工作。
我们希望 Project Glasswing 能成为更大规模行业与公共部门协作的种子工程,让各方共同应对强大模型对安全影响的核心问题。我们也邀请 AI 行业其他成员加入,共同制定行业标准。中期来看,一个独立的第三方机构,也就是能够汇聚私营与公共部门组织的平台,可能是持续推进这些大规模网络安全项目的理想归宿。