一、計畫簡介
Anthropic 宣布啟動 Project Glasswing,聯合了 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA 及 Palo Alto Networks,共同致力於保護全球最關鍵的軟體基礎設施。
此計畫的核心驅動力,是 Anthropic 訓練出的一款尚未公開發布的前沿模型——Claude Mythos Preview。該模型揭示了一個嚴峻事實:AI 在程式碼能力上已超越絕大多數人類,能夠發現並利用軟體漏洞。Mythos Preview 已在每個主要作業系統與網頁瀏覽器中找到數千個高嚴重性漏洞。
資金承諾方面,Anthropic 將提供高達 1 億美元的模型使用額度,以及 400 萬美元的直接捐款給開源安全組織。
二、AI 時代的網路安全威脅
我們日常依賴的軟體——銀行系統、醫療紀錄、物流網路、電力網格——向來存在漏洞,其中部分是可被攻擊者利用的嚴重安全缺陷。全球網路犯罪造成的年度損失估計約達 5,000 億美元。
過去,找出並利用漏洞需要極少數頂尖安全專家才具備的知識。但最新的前沿 AI 模型已大幅降低了所需的成本、精力與專業門檻。
然而威脅與機會並存:同樣的能力在正確使用下,可以成為找出並修復關鍵軟體漏洞、甚至開發出更少安全漏洞之新軟體的利器。Project Glasswing 正是朝著讓防禦方在 AI 驅動的網路安全新時代中取得持久優勢的重要一步。
三、Claude Mythos Preview 的漏洞發現能力
在過去幾週內,Mythos Preview 已在每個主要作業系統與瀏覽器中找到數千個零日漏洞(zero-day vulnerabilities),其中許多屬於關鍵等級。以下是三個具代表性的案例:
- OpenBSD 漏洞(存在 27 年):該漏洞讓攻擊者僅需連線即可遠端讓任何運行該系統的機器崩潰。
- FFmpeg 漏洞(存在 16 年):自動測試工具已對該行程式碼執行過 500 萬次測試,卻從未發現問題。
- Linux 核心漏洞:Mythos Preview 自主找到並串連多個漏洞,讓攻擊者可從一般使用者權限提升至完全控制機器。
評測數據方面,在 CyberGym 網路安全漏洞復現基準上,Mythos Preview 得分為 83.1%,遠超 Claude Opus 4.6 的 66.6%。在程式碼能力方面,SWE-bench Verified 得分達 93.9%(Opus 4.6 為 80.8%)。
Anthropic 不計畫將 Claude Mythos Preview 公開發布,但長期目標是讓使用者能安全地大規模部署 Mythos 等級的模型。
四、計畫夥伴的看法
各大合作夥伴對此計畫的重要性均表示高度認同,重點摘要如下:
- Cisco:AI 能力已跨越閾值,根本改變了保護關鍵基礎設施的緊迫性,舊有的強化系統方法已不再足夠。
- AWS:每天分析逾 40 兆筆網路流量,AI 是其大規模防禦能力的核心。 anthropic
- CrowdStrike:漏洞被發現到被利用的時間視窗已大幅縮短,從前需幾個月,現在 AI 幾分鐘就能辦到。
- Linux Foundation:開源軟體構成現代系統的絕大部分,但開源維護者歷來缺乏安全資源,此計畫提供了改變這一局面的可信路徑。
- Microsoft:在其開源安全基準 CTI-REALM 上,Mythos Preview 相較先前模型有顯著進步。
五、計畫後續規劃
Project Glasswing 合作夥伴將獲得 Mythos Preview 的存取權,用於本地漏洞偵測、二進位黑盒測試、端點安全加固及滲透測試等任務。
資金運用方面:
- 1 億美元模型使用額度將用於計畫期間的研究預覽;研究預覽結束後,每百萬 token 定價為輸入 $25/輸出 $125。
- 另向 Alpha-Omega、OpenSSF(透過 Linux Foundation)捐款 250 萬美元,並向 Apache Software Foundation 捐款 150 萬美元,支援開源軟體維護者應對安全挑戰。
透明度方面,Anthropic 將在 90 天內公開發布研究成果報告,涵蓋已修復漏洞與可揭露的改進項目,並制定 AI 時代安全實踐的實用建議,包括漏洞揭露流程、軟體更新流程、開源與供應鏈安全等面向。
附記:命名由來
計畫名稱取自「玻璃翼蝴蝶(Greta oto)」:其透明的翅膀讓牠能隱身於環境中,猶如長年隱藏的軟體漏洞;同時也象徵蝴蝶得以躲避傷害——對應 Anthropic 在此計畫中倡導的透明度。而「Mythos」則源自古希臘語,意指「話語」或「敘事」。
資料來源: anthropic
