网络安全领域正迎来一场静悄悄的革命。Anthropic近期披露了其"玻璃之翼"（Project Glasswing）合作计划的阶段性成果——这项聚焦关键基础设施保护的AI网络安全工程，在启动后的第一个月便交出了令人瞠目的成绩单。借助尚未对外发布的Claude Mythos Preview模型，该系统在全球核心软件体系中自主定位了超过一万个高危乃至严重级别的零日漏洞，这个数字足以让整个安全社区重新评估人工智能在攻防两端的真实潜力。

当AI开始"自主狩猎"

与传统依赖人工审计和规则匹配的漏洞扫描不同，Claude Mythos Preview展现出的能力边界已经远超"识别"这一层面。它不仅能从海量代码中嗅出异常，更能独立构建可运行的攻击验证程序。这种从发现到利用的闭环能力，在AI安全史上尚属首次规模化落地。

整个项目由Anthropic牵头，联合了微软、苹果、谷歌、Cloudflare等五十余家科技巨头。这些企业的代码库被作为高价值目标定向投放给Mythos Preview进行深度分析。Cloudflare方面反馈的数据显示，模型在其系统中揪出了两千个安全隐患，其中四百个达到高危或严重评级。更值得关注的是，这批结果的误报率甚至低于人工安全测试团队——这意味着AI在精度上已经具备了与顶尖人类专家同台竞技的底气。

独立验证：从实验室到真实战场

纸面数据之外，第三方机构的评估为这套系统提供了更具说服力的背书。英国人工智能安全研究所的测试表明，Mythos Preview是首个完整破解其多步骤网络攻击模拟的模型；Mozilla则将其部署在Firefox 150的代码审计中，结果发现了二百七十一个漏洞并完成修复——这一数字是此前使用Claude Opus 4.6测试时的整整十倍。

如此强悍的自主攻击能力自然也带来了棘手的双重用途风险。Anthropic对此保持了高度克制，至今未将Mythos系列向公众开放，而是严格限定在防御联盟成员内部流转。这种"能力越大、管控越严"的策略，某种程度上也反映出当前AI安全治理的紧迫性。

开源世界的"地震"：CVE-2026-5194与千个项目大扫描

企业级系统的审计之外，Anthropic还将目光投向了更广泛的数字公地。Mythos Preview受托对一千余个主流开源项目进行了地毯式扫描，其中一个标志性发现是编号CVE-2026-5194的严重漏洞——它潜伏在wolfSSL加密库深处，一旦被利用，攻击者可以伪造安全证书，进而悄无声息地冒充银行站点或邮件域名。

初步扫描阶段共产生两万三千余条候选线索。经外部安全公司逐条复核，一千九百条进入人工审核环节，最终一千七百二十六条被确认为真实阳性，准确率高达九成以上。然而，当Anthropic将一千五百九十六个核实漏洞直接提交给各项目维护者后，上游实际修复的仅有九十七个，最终发布安全公告的更是只有八十八份。

修复速度追不上发现速度，行业结构性困境浮出水面

这组悬殊的数字撕开了一个长期被忽视的伤疤：开源生态的志愿者维护者正在以肉身对抗AI的算力洪流。过去，一条高质量的漏洞披露从提交到修复可能需要数周甚至数月；如今，Mythos这类模型将零日漏洞的发现成本和时间压缩到近乎为零，但补丁的大规模部署节奏却并未同步加速。

传统的九十天协调披露窗口在这种新常态下反而成了危险窗口。从漏洞被发现到全球用户完成补丁更新之间的空档期，为恶意攻击者提供了前所未有的可乘之机。这已经不是简单的"修得快不快"的问题，而是整个软件供应链的响应机制是否跟得上AI进化速度的深层拷问。

企业防御策略需要换思路

面对这种不对称态势，单纯依赖"发现漏洞、打补丁"的被动模式显然难以为继。安全团队需要将防线前移：推行严格的默认安全配置、强制多因素身份认证、引入高级行为分析以缩短入侵检测后的平均响应时间（MTTD）。换句话说，与其赌漏洞能被及时修复，不如假设系统已经存在未知弱点，通过纵深防御来降低单点失效的破坏力。

在Mythos仍处于受限状态的过渡期，Anthropic面向企业客户推出了Claude Security的公开测试版。该工具基于Opus 4.7模型，目前已协助修复超过两千一百个企业级漏洞。同时，网络验证计划合作伙伴还能获得代码库映射工具、自动化威胁模型构建器等专业资源，以缓解安全团队在漏洞分级分类上的压力。

未来图景：AI辅助评估或成标配

根据初步结果报告，Anthropic正在评估未来推出Mythos系列模型的可行性。而联盟成员思科也已将Foundry安全规范开源，帮助全球防御者搭建AI辅助的评估框架，以应对即将到来的漏洞数据海啸。

这场由"玻璃之翼"掀起的波澜，或许只是AI重塑网络安全格局的序章。当机器能够以接近零边际成本持续挖掘零日漏洞时，人类社会的数字免疫系统能否完成相应的进化，将决定未来十年关键基础设施的安全底色。