前几天翻到Anthropic的一个项目更新,有点震惊。他们搞了个叫Project Glasswing的东西,拿Claude Mythos Preview去扫那些”系统重要性软件”的代码,一个月不到,找出了一万多个高危和严重级别的漏洞。
一个月一万多个漏洞,这是什么概念
先说这个数字。一万多个高危/严重漏洞,不是那种”你的按钮颜色不对”级别的bug,是真正能被恶意利用、搞垮系统的那种。Anthropic说他们用的是”系统重要性软件”——就是那些全世界都在用、但你可能没意识到它存在的基础库和关键基础设施代码。
传统的安全审计,一个团队花几个月才能把一个大型项目扫一遍。Claude Mythos Preview这个速度,基本是把”发现漏洞”这个步骤给工业化了。
Claude Mythos Preview的能力在于理解复杂代码的结构,找出传统扫描器会漏掉的深层安全缺陷。这不是简单的模式匹配,而是真正的”理解”代码在做什么。
瓶颈转移了:从”找漏洞”到”修漏洞”
这个项目最让我感兴趣的地方,不是”AI找到了很多漏洞”这件事本身,而是它暴露出来的新问题:现在找漏洞已经不是瓶颈了,怎么验证、怎么披露、怎么修,这才是卡住的地方。
想象一下,你的AI一天给你报几百个可能的漏洞,你得一个个去看它是不是真的、危害有多大、怎么修。AI把”发现”的成本几乎降到了零,但”验证和修复”还是得人来干。Anthropic在更新里也承认了这一点——现在的瓶颈是人的速度,不是AI的速度。
50个机构一起上,但细节要等90天
Anthropic不是自己单干,他们拉了大概50个组织一起做这个项目。有开源社区的人,有软件厂商,也有安全机构。想法很简单:关键基础设施的安全是公共品,大家一起护。
但他们执行的是一个相当严格的”协同漏洞披露”政策:发现漏洞之后,最多90天(或者补丁发布后45天)才会公开细节。理由也很充分——如果Anthropic今天发现了一个漏洞,明天就把细节发出去,那在开发者把补丁做出来之前,黑客就能拿着这个信息去攻击那些还没更新的系统。
所以对普通人来说,你现在听到的关于Project Glasswing的消息,其实是个”滞后指标”。真正厉害的那些发现,得等几个月才能知道详情。
这件事的意义不止于”找漏洞”
我觉得这件事真正值得关注的,是它暗示了一个趋势:AI在安全领域的应用,正在从”辅助工具”变成”基础设施”。以前你请个安全团队来审计代码,是按人天收费的。现在Anthropic用AI把这个事情的规模拉上去了,成本结构就完全不一样了。
对于那些维护着关键开源项目、但没钱请安全团队的小团队来说,这种AI驱动的安全审计可能是个真正意义上的”救命稻草”。当然,前提是Anthropic愿意把这种能力开放出来,而不只是自己玩。
另外值得思考的是:当AI既能用来”找漏洞”也能用来”挖漏洞”的时候,这场军备竞赛会往哪个方向走?Anthropic现在是站在防守这一边的,但那些能力,换个角度也能用来进攻。
发表回复