「Anthropic Project Glasswing：AI 一個月找到 1 萬多個嚴重漏洞」的簡短答案是什麼？

Anthropic 表示在 Project Glasswing 計畫中，Claude Mythos Preview 在約一個月內協助發現超過 10,000 個高危或嚴重軟體漏洞，但多數仍未公開披露。

最值得優先驗證的重點是什麼？

Anthropic 表示在 Project Glasswing 計畫中，Claude Mythos Preview 在約一個月內協助發現超過 10,000 個高危或嚴重軟體漏洞，但多數仍未公開披露。約 50 個合作夥伴參與計畫，包括 AWS、Apple、Google、Microsoft、NVIDIA、Cisco 與 Linux Foundation 等大型科技與基礎設施機構。

接下來在實務上該怎麼做？

部分資安研究者認為這是自動化漏洞研究的重大進展，但也有人指出類似能力可能已能透過公開模型與工具實現。

Anthropic Project Glasswing：AI 一個月找到 1 萬多個嚴重漏洞 | 答案

studioglobal

Anthropic Project Glasswing：AI 一個月找到 1 萬多個嚴重漏洞 | 答案 | Studio Global

人工智慧正迅速改變資安研究的方式，而 Anthropic 推出的 Project Glasswing 是目前最受關注的實驗之一。這個計畫的核心是一個尚未公開發布的 AI 模型 Claude Mythos Preview，專門用來在大型軟體程式碼中尋找並驗證安全漏洞。

根據 Anthropic 公布的早期成果，這套系統可以大幅加速漏洞發現速度。不過，由於大多數漏洞仍在修補流程中而尚未公開，外界能夠獨立驗證的資訊目前仍有限。

Project Glasswing 是什麼

Project Glasswing 是 Anthropic 在 2026 年啟動的一項受控資安研究計畫。公司並未公開發布 Claude Mythos Preview，而是將模型提供給一個經審核的合作夥伴聯盟，用於在攻擊者利用之前先找出關鍵軟體中的漏洞。

這個模型被特別優化用於程式碼推理與安全分析，能夠：

在大型程式碼庫中識別安全弱點
推斷漏洞的利用方式
在某些情況下生成可運作的 exploit（利用程式）以證明風險程度

Anthropic 表示，若將此類能力完全公開，可能同樣會被攻擊者利用，因此目前只透過受控合作夥伴計畫部署。

首月成果：超過 10,000 個漏洞

Anthropic 在計畫的首次更新中公布了一些引人注目的數字：

超過 10,000 個高危或嚴重漏洞被 Anthropic 與約 50 個合作夥伴共同發現。
多數合作機構在 約一個月內各自找到數百個漏洞。
一些團隊表示，使用該系統後 漏洞發現速度提升超過 10 倍。

其中一個例子來自網路基礎設施公司 Cloudflare。該公司表示利用該模型在自家核心服務中找到約 2,000 個漏洞，其中約 400 個屬於高危或嚴重等級。

這些結果暗示，AI 可能讓資安團隊能以前所未有的速度審查大型程式碼庫。

技術能力與測試表現

一些外部評估指標也顯示出這個模型在資安領域的能力。

英國 AI Security Institute（AISI） 的測試顯示，Claude Mythos Preview 在專家級的 Capture‑the‑Flag（CTF）資安挑戰中解出 73% 的題目。

相關報告還提到模型具備幾項關鍵能力：

發現 零日漏洞（zero‑day），包括作業系統與瀏覽器中的未知漏洞
串聯多個漏洞以取得權限提升或系統控制
自動生成 可運作的 exploit 程式碼 來證明漏洞影響

這些任務過去通常需要經驗豐富的資安研究員才能完成。

已披露的部分漏洞案例

由於多數漏洞仍在「協調披露」（coordinated disclosure）流程中，目前公開案例不多，但已提到幾個代表性例子：

OpenBSD 核心中一個存在 27 年的漏洞，與 TCP SACK 選項相關。
FFmpeg 中一個 16 年未被發現的錯誤，此前即使經過數百萬次自動測試也沒有被找出。
在 Linux kernel 中發現並串聯多個漏洞，使普通使用者能升級為系統最高權限。

Anthropic 表示，目前 超過 99% 的漏洞仍未公開修補，因此暫時無法公布更多細節。

哪些公司參與了 Glasswing

Project Glasswing 採取聯盟模式，由科技公司、基礎設施供應商與資安企業共同參與。

公開提到的參與者包括：

Amazon Web Services (AWS)
Apple
Google
Microsoft
NVIDIA
Cisco
Broadcom
CrowdStrike
Palo Alto Networks
JPMorgan Chase
Linux Foundation

加上 Anthropic 與其他機構，整體合作夥伴約 50 個組織。

這些企業使用模型掃描自己的產品或關鍵開源軟體，找出漏洞並推動修補。

為何模型沒有公開發布

Anthropic 強調 Mythos 之所以被限制使用，是因為它同時具備 防禦與攻擊能力。

如果這類 AI 能自動發現並利用零日漏洞，一旦被濫用，可能會大幅降低發動網路攻擊的門檻。

因此公司採取策略：先透過合作計畫修補大量漏洞，再考慮更廣泛的釋出。

資安界的質疑與討論

儘管數字看起來相當驚人，但資安社群也提出幾點質疑。

1. 外部驗證仍有限
目前許多關鍵數據來自 Anthropic 本身的報告。由於多數漏洞尚未公開，其他研究者暫時無法全面驗證。

2. 是否真的比現有工具更強？
一些研究團隊表示，他們使用公開模型與工具也能重現部分類似的漏洞發現，認為 Mythos 的優勢可能是速度與整合程度，而非完全全新的能力。

3. 真實世界修補率尚未明確
雖然有 CTF 等基準測試，但目前公開資料仍缺乏完整統計，例如 AI 發現的漏洞中有多少被確認、修補並部署到實際系統中。

整體評價

如果 Anthropic 公布的數據經得起更多驗證，Project Glasswing 可能是史上規模最大的 AI 輔助漏洞研究計畫之一。僅在第一個月，合作夥伴就報告找到 超過 10,000 個高危漏洞。

不過，由於多數漏洞尚未公開披露，目前資安界仍在等待更完整的獨立驗證。

可以確定的是：AI 已經成為軟體安全研究的重要工具——能夠快速掃描大型程式碼庫、找出細微漏洞，甚至自動生成攻擊利用程式。至於 Claude Mythos 是否代表真正的「突破」，或只是 AI 驅動資安分析浪潮中的第一個明顯案例，未來幾年可能會給出答案。

Anthropic Project Glasswing：AI 一個月找到 1 萬多個嚴重漏洞