Ichibantitle
Back to Blog

Project Glasswing:为 AI 时代守护核心软件安全

April 9, 2026by Ichiban Team
securityaianthropicclaudeinfrastructureopen-source

Hero

#引言

AI 在加速软件开发的同时,也在重塑网络安全的格局。借助 AI 驱动的攻击工具正变得愈发复杂,大大降低了黑客作恶的门槛。为了应对这一范式的转变,Anthropic 正式推出了 Project Glasswing(透翅蝶项目)——一项旨在让防守方重新占据主动的重大网络安全计划。

该项目以拥有透明翅膀的透翅蝶(Greta oto)命名,寓意着让软件供应链中隐藏的漏洞无所遁形。Glasswing 的核心机制是利用尚未发布的前沿 AI 模型,主动发现、分析并修复全球最关键的开源及专有软件基础设施中的 0day 漏洞,抢在它们被武器化之前将其扼杀在摇篮中。

#事件回顾

2026 年 4 月 9 日,Anthropic 正式宣布了 Project Glasswing。这是一项专注于保障关键软件安全的超大规模跨行业合作。Anthropic 并没有直接发布一款面向公众的工具,而是选择与科技和安全领域的顶级玩家联手。首批合作伙伴阵容堪称豪华:包括 AWS、Google 和 Microsoft 等云服务巨头;Apple、NVIDIA、Broadcom 和 Cisco 等硬件及网络巨头;CrowdStrike、Palo Alto Networks 和 JPMorganChase 等安全与金融行业领军者;以及 Linux 基金会等开源事业的倡导者。

驱动这一计划的技术引擎是 Claude Mythos Preview。据 Anthropic 介绍,这是迄今为止在代码编写和 Agent 任务方面最强大的模型,专门针对深度代码分析和漏洞挖掘进行了微调。鉴于其强大的能力以及潜在的双刃剑风险,Anthropic 目前仅向首批合作伙伴以及约 40 家负责关键基础设施的机构开放了访问权限。

为了支持已发现漏洞的修复工作,Anthropic 承诺提供价值高达 1 亿美元的模型调用额度,并向 Apache 软件基金会和 OpenSSF 等开源安全组织直接捐赠 400 万美元。

#意义何在

软件供应链的脆弱性早已是公开的秘密。现代应用往往建立在极其复杂的依赖栈之上,其中许多底层库仅靠少数缺乏资金支持的开源贡献者在苦苦维系。一旦某个基础库爆出漏洞,其破坏范围往往是灾难性的。

Project Glasswing 的重大意义在于,它将安全防护从被动打补丁转向了主动挖掘。通过部署能够理解庞大代码库中复杂执行路径的高级 AI 模型,该项目旨在彻底消除那些长期以来能够逃避传统静态(SAST)和动态(DAST)应用安全测试工具检测的深层漏洞。

在早期测试阶段,Claude Mythos Preview 展现出了惊人的实力——它发现了数以千计的未知 0day 漏洞。最引人注目的是,它在以极高安全性著称的 OpenBSD 操作系统中挖出了一个潜伏了 27 年的 Bug,并在广泛使用的多媒体框架 FFmpeg 中发现了一个长达 16 年的漏洞。尽管代码一直在接受不断地审查,这些漏洞却能潜伏数十年之久,这无疑暴露了人工代码审查和传统自动化工具的局限性。

#技术影响

对于软件工程师和安全研究员来说,Claude Mythos Preview 展现出的能力代表了自动化漏洞分析领域的巨大飞跃。这将在以下几个技术维度产生深远影响:

#1. 基于 Agent 机制的漏洞利用链构建

Mythos 最令人瞩目的技术成就之一,是其不仅能发现孤立的 Bug,还能像 Agent 一样将多个微小的漏洞“串联”起来。在演示中,该模型自主地将 Linux 内核中的多个漏洞组合成利用链,最终实现了权限提升。这完全复刻了高级持续性威胁(APT)的攻击手法,让防守方能够直观地了解那些看似低危的漏洞是如何被组合成致命攻击链的。

#2. 超越传统模式匹配

传统的 SAST 工具严重依赖启发式算法、正则表达式和已知的反模式。它们不仅误报率极高,而且在处理复杂的逻辑漏洞时往往束手无策。相比之下,Mythos 具备深度的上下文理解能力。它能够追踪跨越多个文件和模块的数据流,推理出 C 和 C++ 等语言中的状态变化与内存管理逻辑。这使其能够精准捕获传统 Linter 工具容易遗漏的复杂漏洞,例如释放后重用(Use-After-Free)、竞争条件(Race Condition)以及越界读写(Out-of-Bounds Read/Write)。

#3. 自动生成修复方案

发现 Bug 只是成功了一半,如何在不引入新问题(Regression)的情况下修复它往往才是真正的挑战。该项目不仅强调漏洞挖掘,更看重自动化的修复能力。通过提供高质量、结合上下文的补丁建议,它可以大幅减轻项目维护者的工作负担。

特性传统 SAST 工具Claude Mythos Preview
分析方法模式匹配,抽象语法树深度上下文理解,Agent 推理
漏洞利用链构建极少支持,需人工介入分析全自主构建漏洞链并模拟漏洞利用
误报率极高,需大量人工排查极低,可提供切实可行的概念验证 (PoC)
修复能力给出通用建议或简单的语法修正结合上下文,自动生成可编译的补丁代码

#未来展望

Project Glasswing 目前的当务之急,是对初期测试阶段发现的数千个漏洞进行负责任的披露和修复。向 OpenSSF 等组织提供的资金支持将发挥关键作用,确保维护者有充足的资源来安全地审查和合入这些补丁。

展望未来,Claude Mythos Preview 的受限发布模式也引发了关于 AI 在安全领域未来走向的重要思考。虽然不对外公开模型是防止黑客利用其挖掘 0day 漏洞发起攻击的必要保护手段,但这同样造成了攻防能力的严重不对称。广大开发者社区需要密切关注 Anthropic 及其合作伙伴将如何普惠这项技术的红利——例如向开源仓库自动提交 PR,或发布经过脱敏的漏洞报告——从而在不暴露底层引擎的前提下提升整体的安全水平。

#结语

Project Glasswing 标志着人工智能与网络安全交汇处的一个分水岭。通过联合业界巨头和开源基金会,围绕 Anthropic 的 Claude Mythos Preview 展开合作,该项目揭示了一个残酷的现实:保护现代网络中极其复杂、层层嵌套的软件基础设施安全,已经超出了人类手工处理的极限。

作为 Ichiban Tools 的开发者,我们正密切关注着这些底层架构的演进。虽然我们日常构建的工具主要专注于提升开发者的生产力和实用性,但承载所有代码运行的底层基础必须是绝对安全的。Glasswing 为我们描绘了一个充满希望的未来:AI 将成为软件供应链中不知疲倦且能力超群的守护者,确保我们赖以生存的关键系统能够坚如磐石,从容迎接 AI 时代的到来。