Anthropic 在 2026 年 6 月 2 日宣布扩大 Project Glasswing。官方给出的数字很具体：项目将扩展到大约 150 家新机构，覆盖 15 个以上国家；而此前首批大约 50 家合作伙伴，已经借助 Claude Mythos Preview 在代码库中发现了超过 10,000 个高危或严重级别的安全漏洞。

这不是一条普通产品新闻。它传递的信号很明确：Anthropic 已经把 Claude 的一部分能力，推进到了高风险、高价值的安全场景，而且不是停留在实验室演示，而是在真实代码库里跑。

先把这件事看成安全流程变化

技术团队看到这件事，最容易产生两个误区。一个误区是觉得“等更强模型开放了再说”；另一个误区是直接把模型理解成新的安全扫描器。其实都不对。

Project Glasswing 更像是一个高强度验证计划。Anthropic 在公告里说，这些新加入的机构需要先满足安全要求才会获得访问权限，而且很多组织都属于关键基础设施领域，像电力、水务、医疗、通信和硬件。也就是说，Anthropic 自己非常清楚，这类能力一旦进入生产安全流程，收益和风险都很高。

企业起步前先补四个基础动作

企业如果要起步，不应该先追 Mythos Preview，而应该先把自己的安全测试流程补齐。至少有四件事要先做。

第一，明确模型在安全流程里的角色。它更适合作为辅助发现、初步分析、补丁建议和预发布检查的一环，而不是单独替代安全团队判断。Anthropic 也提到，真正的瓶颈已经转向漏洞验证、披露和修补，而不只是发现漏洞。

第二，把日志和回放能力准备好。安全测试和普通问答不同，任何一次分析过程、提示词调整、工具调用记录，都可能影响后续复盘。没有留痕的模型试验，很难进入正式流程。

第三，先从公开或低风险代码开始。哪怕模型能力已经很强，也不建议一开始就让它碰最敏感的核心系统。可以先在内部工具、测试仓库、历史漏洞复盘上建立评估方法，再逐步扩大。

第四，接入层要尽量统一。安全团队往往不会只测一个模型，而是会比较不同模型在误报、漏报、解释质量和补丁建议上的差异。用 147AI 做统一接入会方便一些，尤其适合把 Claude 和其他模型拉到同一套测试框架里。但这里必须强调，实际调用方式还是要看 147AI 的 API 接口文档，尤其要分清原生接口和兼容接口，不要把不同协议混着配。

建议的试点顺序

如果团队现在准备起步，我更建议按“历史漏洞复盘 -> 低风险仓库扫描 -> 补丁建议对比 -> 预发布检查”这个顺序往前走。这样能先把误报处理、日志留痕和人工复核的习惯练出来，再决定是否扩大范围。

最后再下判断

Project Glasswing 扩容说明的不是“大家明天都该上 AI 安全扫描”，而是下一阶段的工程现实：模型会越来越深地参与安全工作。企业真正该做的，是先把验证框架和治理动作搭起来，再决定让模型接管到哪一步。