想像一下,如果有一個超級大腦,能夠在幾分鐘內找出全世界最安全、最堅固的作業系統中,潛伏了 27 年的致命漏洞;而且這個大腦不需要休息,不需要喝咖啡,甚至不需要人類的指導就能自動完成這一切。這聽起來像是科幻電影中的終極反派,但在 2026 年的今天,它已經成為現實。
就在不久前,人工智慧頂尖研究機構 Anthropic 發布了一項名為「Project Glasswing」的重大計畫,並同步公開了他們尚未正式發行的前沿 AI 模型 Claude Mythos。這款模型展現出極度強大的資安漏洞挖掘與程式碼推理能力,甚至已經超越了全球絕大多數最頂尖的資安專家。當 AI 具備了頂尖駭客的能力,它若落入惡意攻擊者手中,將對全球經濟與國家安全造成難以估計的破壞。為了搶在危機發生之前築起防線,Anthropic 選擇了一條非傳統的道路。他們集結了全球最具影響力的科技巨頭,共同發起 Project Glasswing,試圖利用 AI 的強大能力來進行「防禦性修補」。
AI 跨越駭客門檻:那些連人類專家都找不到的深層漏洞
在軟體工程的世界裡,找 Bug 是一項枯燥且高度依賴經驗的工作。過去幾十年來,資安界依賴著代碼審查(Code Review)與各種自動化模糊測試(Fuzzing)工具來尋找漏洞。然而,Claude Mythos 展現出的是一種被稱為「代理型程式碼撰寫與推理(Agentic coding and reasoning)」的全新能力。這代表它不再只是單純比對固定特徵,而是能夠像人類資安專家一樣,理解程式碼的邏輯脈絡,進行深度推理,並完全自主地發掘與利用漏洞。
Anthropic 在測試階段,讓 Claude Mythos自主進行掃描,結果它找出了三個極具代表性的重大漏洞:
- OpenBSD 的 27 年陳年漏洞:熟悉資安領域的人都知道,OpenBSD 一直以「預設即安全(Secure by Default)」聞名於世,是許多企業防火牆與關鍵網路設備的核心底層系統。然而,Claude Mythos 卻在其中找出了一個存在長達 27 年的漏洞。攻擊者只需連接到運行該系統的機器,就能從遠端直接讓系統崩潰。這意味著即使是全球最受嚴格檢視的程式碼庫,在 AI 面前依然存在盲區。
- FFmpeg 中躲過 500 萬次測試的 16 年缺陷:FFmpeg 是全球最廣泛使用的影音編解碼開源套件,從 YouTube 影片處理到你電腦裡的播放軟體,背後幾乎都有它的身影。Claude Mythos 在 FFmpeg 中發現了一個 16 年前的漏洞。令人震驚的是,這段存在缺陷的程式碼,曾經被傳統的自動化安全測試工具掃描與執行了高達 500 萬次,卻從未被觸發或察覺。這充分展示了 AI 模型在處理複雜邏輯死角時,遠勝於傳統窮舉式測試的優勢。
- Linux Kernel 權限提升連鎖攻擊:Linux 系統支撐著全球絕大多數的伺服器與雲端基礎設施。Claude Mythos 不僅能找出單一漏洞,還能夠自主將多個微小的、看似無害的漏洞「串聯」起來,最終讓一個只有普通權限的攻擊者,成功獲取整台伺服器的最高控制權。這種漏洞串聯技術過去被認為是高階人類駭客的專利,如今 AI 已經能自動化完成。
輾壓級的 Benchmark 表現:拉開與前代模型的差距
Anthropic 在報告中將 Claude Mythos 與他們目前次強的模型「Claude Opus 4.6」進行了對比,數據顯示出極大的效能落差:
- CyberGym(資安漏洞重現測試):這項測試專門衡量模型重現與理解漏洞的能力。Claude Mythos 達到了 83.1% 的成功率,大幅領先 Opus 4.6 的 66.6%。
- SWE-bench 系列測試:在最嚴格的「SWE-bench Verified」中,Mythos 取得了 93.9% 的驚人成績(Opus 4.6 為 80.8%)。而在多語言版本(Multilingual)中也達到了 87.3%。Anthropic 特別強調,即使排除了模型可能「記住」訓練資料的疑慮,這個領先幅度依然穩固。
- Terminal-Bench 2.0(終端機代理能力):這項測試要求模型在命令列環境中執行複雜任務。在給予 100 萬個 Token 的任務預算並允許「自適應思考(Adaptive thinking)」的情況下,Mythos 獲得了 82.0% 的高分。當測試時間限制放寬到 4 小時時,它的得分甚至飆升至 92.1%。
- Humanity's Last Exam :在使用外部工具的條件下,Mythos 獲得 64.7%,雖然 Anthropic 坦言在低難度測試中可能存在一些記憶效應,但依然顯著優於 Opus 4.6 的 53.1%。
- BrowseComp(網頁瀏覽代理能力):Mythos 獲得 86.9% 的分數,最令人矚目的是,它達成這個成績所消耗的 Token 數量,比 Opus 4.6 少了整整 4.9 倍。這代表它在執行任務時變得更加精準且高效。
史無前例的科技巨頭聯盟與業界共識
Project Glasswing 最引人注目的,除了技術本身,還有那份堪稱夢幻隊的合作夥伴名單。在科技界,AWS、Google Cloud 與 Microsoft 通常是激烈競爭的對手,但在面對 AI 資安這項議題時,他們卻選擇了攜手合作。
從各家高層的發言中,我們可以看到產業界對於當前局勢的強烈共識:
- 微軟(Microsoft)與 CrowdStrike 點出「時間窗的壓縮」:CrowdStrike 技術長 Elia Zaitsev 明確指出,過去從發現漏洞到被惡意利用,防禦者通常有幾個月的時間可以反應;但現在有了 AI,這個時間窗已經被壓縮到了短短幾分鐘。微軟也認為,資安已經不再是單純依賴「人類產能」就能解決的問題,必須採用規模化的 AI 防禦機制。
- 思科(Cisco)與 AWS 強調「基礎設施的持續強化」:AWS 每天必須分析超過 400 兆次網路流量,他們已經將 Mythos 投入自身的安全營運中,深入底層架構進行程式碼強化。思科的資安長也呼籲,舊有的系統加固方式已經不敷使用,科技供應商必須積極導入新方法。
- Palo Alto Networks 的強烈警告:他們的產品長 Lee Klarich 提出了最直接的警告:大家必須為「AI 輔助的攻擊者」做好準備。未來的攻擊將會更多、更快、更複雜,現在就是全面現代化資安防禦堆疊的最後時機。
AI 將對全球的軟體生態、企業營運模式產生影響
開源軟體生態系的重生與挑戰
我們每天使用的網路服務,底層幾乎都依賴著大量的開源軟體(Open Source Software)。然而,這些開源專案的維護者通常是無償工作的志工,他們缺乏龐大的資金與專業的資安團隊來進行程式碼審查。正如 Linux Foundation 執行長 Jim Zemlin 所言,過去「資安專業知識」是大型企業的奢侈品,開源維護者只能自求多福。
Project Glasswing 試圖改變這個不平衡的現況。Anthropic 捐贈了 400 萬美元給 Linux Foundation (Alpha-Omega 與 OpenSSF) 及 Apache Software Foundation,並開放 Mythos 給這些組織使用。這讓開源專案首次擁有了一個「不知疲倦的虛擬資安專家」作為助手。這不僅能大幅提升開源軟體的整體品質,長遠來看,也有助於穩固整個全球數位經濟的基石。
企業資安防禦典範的轉移與商機
根據估計,目前全球每年因網路犯罪造成的經濟損失高達 5,000 億美元。過去,企業的資安防禦往往是「被動式」的:購買防毒軟體、等待廠商釋出修補程式(Patch)、在遭到攻擊後進行補救。
但隨著 Claude Mythos 這種具備主動掃描與推理能力的 AI 普及,企業的資安思維必須徹底轉變為「主動式防禦(Proactive Defense)」。未來的企業資安不再只是單純阻擋已知的病毒特徵,而是必須在軟體開發生命週期的初期,就導入高階 AI 進行程式碼弱點檢測。這將帶動一波龐大的資安基礎設施升級潮,對於提供 AI 資安檢測、自動化修補與威脅情報分析的新創公司或傳統資安大廠來說,這或許將是一門全新的、且具備高度需求的龐大生意。
TN科技筆記的觀點
在傳統的資安理論中,存在著一個令人絕望的「不對稱性」:防禦者必須在 100% 的時間裡、防守住 100% 的漏洞;而攻擊者只需要做對一次,找到一個破口,就能成功入侵。這種先天的防禦者劣勢,讓全球軟體產業始終處於疲於奔命的狀態。Project Glasswing 試圖利用運算力(Compute)與模型能力的擴展(Scaling),來逆轉這種不對稱性。他們希望在那些惡意駭客自己訓練出同等級別的 AI 模型之前,利用這段時間窗口,將地球上最關鍵軟體中的陳年漏洞徹底清掃一遍。這不僅是技術上的展現,更是一種展現「負責任的 AI 發展」的示範,將模型視為具備高度雙面刃特性的戰略資產,並以防禦作為首要任務,即使可能有部分宣傳模型能力的效果,但仍然值得肯定。
但是,這個時間窗口可能不會太長,即使 Anthropic 今天擁有 Mythos ,但 AI 技術的擴散速度極快。開源社群或其他AI公司,很有可能在未來的 6 到 12 個月內,訓練出具備同等駭客能力的模型。這表示 Project Glasswing 爭取到的「安全時間窗」其實非常短暫。最後,Anthropic 也提到將依賴「未來推出的 Claude Opus 模型」來部署新的安全護欄。這反過來證實了一件事:目前業界對於如何完全從模型內部阻斷惡意輸出,依然沒有完美的解法;現階段只能依賴嚴格的 API 存取控制。這提醒我們,在過度依賴 AI 解決資安問題的同時,也絕對不能放棄對基礎架構安全設計的重視。
支持TN科技筆記,與科技共同前行
我是TN科技筆記,如果喜歡這篇文章,歡迎留言、點選愛心、轉發給我支持鼓勵~~~也歡迎每個月請我喝杯咖啡,鼓勵我撰寫更多科技文章,一起跟著科技浪潮前進!!>>>>> 請我喝一杯咖啡
在此也感謝每個月持續請我喝杯咖啡的讀者以及新加入的讀者們,讓我更加有動力為各位帶來科技新知!
以下是我的 threads 也歡迎追蹤、回覆、轉發喔!
>>>>> TN科技筆記(TechNotes)
