Hacker News 中文摘要

RSS订阅

项目“玻璃翼”:初步进展 -- Project Glasswing: An Initial Update

原文链接 | HN讨论 | 2026-05-23 05:43:44

文章摘要

Anthropic公司发起的"Project Glasswing"项目旨在利用AI模型Claude Mythos Preview检测关键软件漏洞。项目启动一个月来,已与约50个合作伙伴共同发现上万高危漏洞,当前挑战在于漏洞验证和修复速度跟不上AI检测速度。文章分享了初期成果,包括Mythos Preview在开源项目扫描中的表现,以及对未来发布Mythos类模型的规划。

文章总结

项目Glasswing:初步进展报告

核心内容概述

我们上月启动了Glasswing项目,旨在通过AI协作强化全球关键软件安全。目前,约50家合作伙伴已使用Claude Mythos预览版发现了上万高危漏洞,软件安全修复速度成为新瓶颈。

早期成果

  1. 漏洞披露策略
    遵循行业惯例的90天披露周期(或补丁发布后约45天),我们通过协调漏洞披露政策平衡用户安全与透明度,当前仅提供典型案例和统计概览。

  2. 合作伙伴验证

    • Cloudflare在核心系统中发现2,000个漏洞(400个高危级),误报率低于人工检测
    • 英国AI安全研究所确认Mythos是首个完整攻破其双网络靶场的模型
    • Mozilla在Firefox 150中修复271个漏洞,效率较前代提升10倍

  3. 开源项目扫描
    扫描1,000+关键开源项目后,发现6,202个高危漏洞(总23,019个)。经第三方验证的1,752个漏洞中,90.6%为真实漏洞,62.4%确认为高危。典型案例包括wolfSSL加密库的证书伪造漏洞(CVE-2026-5194)。

行业影响

  • Palo Alto Networks补丁数量增长5倍
  • 微软预计补丁发布量将持续增加
  • 银行案例:成功拦截150万美元欺诈转账

挑战与应对

当前瓶颈在于人工验证和修复速度。我们建立漏洞仪表盘跟踪进度,并建议: - 开发者:缩短补丁周期,优化更新机制
- 防御方:强化多因素认证、日志记录等基础防护

工具支持

  • 推出Claude Security企业版,已修复2,100+漏洞
  • 开放合作伙伴使用的扫描工具链(含代码映射、子代理扫描等模块)
  • 思科开源Foundry Security Spec

未来计划

  • 与开源安全基金会合作支持维护者
  • 开发更严格防护措施后公开发布Mythos级模型
  • 扩展政府及关键合作伙伴网络

相关研究

(注:保留技术细节和关键数据,删减了部分合作伙伴具体评价及工具配置说明等次要信息)

评论总结

以下是评论内容的总结,按观点分类呈现:

  1. 对Mythos能力的质疑
  • 认为缺乏与Opus 4.7的对比数据(评论1:"no data to prove this wasn't doable with Opus 4.7")
  • 质疑漏洞真实性(评论2:"Is this suspected vulns or actual vulns?";评论17:"How much is RL’ing on every CVE?")
  1. 对发布策略的批评
  • 认为存在商业利益优先(评论11:"make a load of money before general release")
  • 不满非公开验证(评论9:"posting stuff when it can’t be verified";评论5:"BOOO RELEASE THE MODEL")
  1. 对技术效果的肯定
  • 用户实证支持(评论6:"90% accurate...shocked how many issues it found")
  • 独立验证数据(评论12:"90.6% true positives...clear step change")
  1. 应用场景讨论
  • 关注关键基础设施(评论16:"prioritize GitHub repos over internet software")
  • 建议漏洞类型分析(评论19:"publish vulnerability type statistics")
  1. 行业影响预测
  • 认为将改变开发流程(评论6:"regular part of development lifecycle")
  • 类比自动驾驶(评论15:"like manual driving becoming obsolete")
  1. 成本效益质疑
  • 要求成本透明度(评论22:"how much did it cost to find 1451 bugs?")
  • 质疑商业动机(评论23:"just some money printing scheme")

典型评论引用: - 支持方:评论6称"约90%准确率...连'低危'发现也实际可被利用"("90% accurate...even 'Low' findings are actually exploitable") - 反对方:评论9批评"无法验证的营销需要停止"("this trend of posting unverifiable stuff needs to end")

注:所有评论均无评分数据(None),观点分布较均衡,支持方多引用实证数据,反对方侧重方法论和商业伦理质疑。