修不过来：Anthropic 披露 AI 抓虫首月战报，揪出超 1 万个高危漏洞

5 月 23 日消息，Anthropic 昨日（5 月 22 日）发布公告，披露称 Project Glasswing 项目上线 1 个月后，携手约 50 家合作伙伴，已在关键软件中挖掘出超过 1 万个高危（High）和关键（Critical）级别漏洞。

根据 Project Glasswing 项目合作方的反馈，Claude Mythos Preview 模型已显著提升漏洞发现能力，部分团队的找漏洞速度提升超过 10 倍，当前瓶颈已从“发现漏洞”转向“验证、披露与修补漏洞”。

Cloudflare 披露，其在关键路径系统中发现 2000 个漏洞，其中 400 个属于高危或严重级别，且误报率优于人工测试。

Mozilla 在 Firefox 150 中修复 271 个漏洞，这一数量超过使用 Claude Opus 4.6 测试 Firefox 148 时的 10 倍。

在外部评测中，Mythos Preview 也表现突出。英国 AI Security Institute 称其是首个端到端攻破 2 个网络攻防靶场的模型。

独立安全平台 XBOW 认为，该模型在网页利用基准上的表现明显强于现有模型，并具备极高精度。

援引博文介绍，针对开源软件，Anthropic 过去几个月已扫描 1000 多个开源项目，合计发现 23019 个漏洞（包括中危和低危），其中 6202 个被模型估计为高危或严重级别。

当前已有 1752 个高危或严重漏洞完成人工复核，确认其中 1587 个为真实漏洞，真实率达 90.6%；其中 1094 个被确认仍属高危或严重级别，占比 62.4%。

按当前复核后命中率估算，即便后续不再新增漏洞，最终也可能沉淀出近 3900 个开源高危或严重漏洞。

真正困难的环节在修补。Anthropic 称，高危或严重漏洞从发现到补丁落地，平均需要 2 周，部分开源维护者甚至要求放慢披露节奏，其处理 AI 生成漏洞报告的能力已接近上限。