Anthropic尚未发布的“Claude Mythos Preview”版本已自主识别出遍布各大操作系统和网络浏览器的数千个高危零日漏洞,促使该公司启动了“Project Glasswing”项目——这是一个由高达1亿美元的人工智能使用积分支持的防御性网络安全联盟。 关键要点:
《Claude Mythos》预览:Anthropic公司尚未发布的AI破解了Linux和OpenBSD中人类数十年未察觉的漏洞
分享
- Anthropic 的 Claude Mythos Preview 在 Cybergym 平台上获得 83.1% 的评分,在所有主流操作系统和浏览器中发现了数千个零日漏洞。
- “Glasswing计划”于2026年4月7日启动,拥有11家创始合作伙伴,并为防御方提供高达1亿美元的Mythos使用积分。
- 一个存在27年的OpenBSD漏洞和一个存在16年的FFmpeg漏洞,在数百万次自动化测试中均未被发现,直到Mythos在数小时内将其查出。
Claude Mythos AI 在 Cybergym 测试中获得 83% 的评分,并在所有主流浏览器和操作系统中发现了关键漏洞
Anthropic将该模型描述为前沿AI史上单模型能力提升幅度最大的案例。该模型于2026年4月7日完成训练并正式发布,此前因内容管理系统配置错误导致约3,000份内部文件泄露,相关内部细节于3月下旬曝光。
Anthropic 不会向公众或通过其通用 API 发布 Claude Mythos 预览版。在该模型展示出其发现并利用未知软件漏洞的速度和规模均超越人类专家及此前 AI 系统后,该公司将访问权限限制在经过审核的合作伙伴群体内。
在网络安全基准测试中,Mythos与Claude Opus 4.6之间的差距不容忽视。在Cybergym测试中,Mythos得分83.1%,而Opus 4.6仅为66.6%;在SWE-bench Verified测试中,前者得分93.9%,后者为80.8%。 在SWE-bench Pro测试中,其得分达77.8%,而Opus 4.6仅为53.4%,两者相差24个百分点。在未使用工具的情况下,该模型在"人类的最后考试"(Humanity's Last Exam)中取得56.8%的成绩,其前代模型则为40.0%。 该模型无需接受网络安全专项训练即可发现这些漏洞。 其性能提升源于推理能力、多步骤规划以及自主代理行为方面的广泛进步。当目标代码库置于隔离容器中时,该模型会读取源代码、针对内存安全漏洞提出假设、编译并运行软件、使用 Address Sanitizer 等调试工具、按漏洞发生概率对文件进行排序,并生成包含可运行概念验证利用程序的经过验证的漏洞报告。
其中部分漏洞利用几乎无需人工干预。Tomshardware.com 报道称,一个存在 27 年的 OpenBSD TCP SACK 漏洞——一种微妙的整数溢出漏洞,允许攻击者通过构造恶意数据包远程使任何响应主机崩溃——在经过约 1,000 次运行后被自主发现,总成本不足 20,000 美元。 一个存在了16年的FFmpeg H.264漏洞,在经历了超过500万次自动化测试和多次安全审计后,才被Mythos发现。 浏览器测试结果尤其引人注目。在针对Firefox 147 JavaScript引擎的测试中,Mythos生成了181个完整shell权限提升漏洞和29个寄存器控制漏洞。而Claude Opus 4.6在同一测试集上仅生成了两个shell权限提升漏洞。 该模型还构建了可行的 Linux 内核权限提升链,可在服务器上实现从普通用户到 root 用户的权限提升。具体而言,它将 100 个近期 CVE 筛选为 40 个可利用候选项,并成功利用了其中超过一半。 人工验证人员审查了该模型生成的 198 份漏洞报告,其中 89% 的严重性评级与模型一致,且 98% 的评级差异在同一严重性级别内。
Glasswing 项目
迄今为止,已发现的漏洞中仅有不到1%得到了完全修复。 Anthropic正在协调负责任的披露流程,针对未修复的问题发布基于SHA-3的加密承诺,并遵循90天加45天的时限后再公布完整细节。FreeBSD NFS服务器远程代码执行漏洞CVE-2026-4747(存在17年之久,可授予未经身份验证的完整root权限)便是已公开披露的典型案例之一。
与该模型同步发布的“Glasswing”项目,是 Anthropic 在此类工具广泛普及之前,将这些能力应用于防御领域的尝试。创始合作伙伴包括亚马逊网络服务(AWS)、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux 基金会、微软、英伟达和 Palo Alto Networks。目前正向另外 40 多家关键软件组织开放访问权限。
Anthropic承诺捐赠400万美元用于开源安全项目:其中250万美元通过Linux基金会向OpenSSF的Alpha-Omega项目捐赠,150万美元捐赠给Apache软件基金会。
在与五角大楼的争议中,Anthropic向联邦选举委员会注册了AnthroPAC
Anthropic于2026年4月3日向联邦选举委员会(FEC)提交了AnthroPAC的注册申请,在即将到来的以人工智能为主题的中期选举前,成立了其首个由员工出资的政治行动委员会(PAC)。 read more.
立即阅读
在与五角大楼的争议中,Anthropic向联邦选举委员会注册了AnthroPAC
Anthropic于2026年4月3日向联邦选举委员会(FEC)提交了AnthroPAC的注册申请,在即将到来的以人工智能为主题的中期选举前,成立了其首个由员工出资的政治行动委员会(PAC)。 read more.
立即阅读在与五角大楼的争议中,Anthropic向联邦选举委员会注册了AnthroPAC
立即阅读Anthropic于2026年4月3日向联邦选举委员会(FEC)提交了AnthroPAC的注册申请,在即将到来的以人工智能为主题的中期选举前,成立了其首个由员工出资的政治行动委员会(PAC)。 read more.
该公司承认,Mythos 等 AI 工具降低了发现和利用漏洞的门槛,并指出若此类能力在缺乏管控的情况下扩散,将面临来自国家行为体(包括中国、伊朗、朝鲜和俄罗斯)以及犯罪团伙的短期风险。该公司描述了在防御方完全整合该技术之前将出现一段过渡期的动荡。
Anthropic表示,即将发布的Claude Opus版本将包含安全防护措施,用于检测并阻止危险的网络安全输出,并计划推出面向经过审核的安全专业人员的“网络安全验证计划”。关于合作伙伴发现的问题及已修复漏洞的公开报告预计将在90天内发布。
