Anthropic宣布扩大Project Glasswing合作计划,新增约150家合作伙伴,使其可访问强大的Claude Mythos Preview模型。该模型已发现超过1万个高危或严重安全漏洞,涵盖主流操作系统和浏览器。Anthropic警告,一旦遭受成功攻击,可能影响逾1亿人,威胁全球安全。新加入伙伴涵盖电力、医疗、通信等关键行业。尽管该项目受到透明度不足的批评,但业界普遍认为此类协作防御举措势在必行。
BT成为首家加入Anthropic Project Glasswing计划的英国企业,获得Claude Mythos Preview前沿AI模型的受控访问权限,以增强网络和客户的网络安全防护。该项目汇聚了亚马逊、苹果、思科、微软等40余家关键基础设施提供商,旨在利用AI快速识别漏洞,抢在黑客之前保护关键软件系统。Anthropic为此承诺提供最高1亿美元的使用额度及400万美元开源安全捐款。BT目前每天拦截400万次网络攻击。
两周内,AI安全工具已连续发现三个严重的Linux内核本地提权漏洞。最新漏洞"Fragnesia"由安全公司Zellic利用AI代理审计工具V12披露,攻击者可通过滥用Linux XFRM子系统的逻辑缺陷,向只读文件的内核页缓存写入任意字节,无需竞争条件即可获得root权限。该漏洞CVSS评分7.8,影响所有主流Linux发行版,在云容器环境中危害尤为严重。目前上游补丁已可用,各发行版预计近期推送修复。
Mozilla工程师历时两个月,借助Anthropic的AI漏洞检测模型Mythos,在Firefox中发现271个安全漏洞,其中180个属于最高级别"高危"漏洞。此次成功的关键在于两点:模型自身能力的提升,以及Mozilla专为Firefox开发的自定义"harness"框架。该框架引导AI模型访问与人类开发者相同的工具链,并通过第二个LLM对结果进行验证,实现了"几乎零误报"的效果。
Anthropic宣布Claude Security进入公测阶段,帮助网络安全团队扫描代码库漏洞并生成修复补丁。该工具由旗舰模型Opus 4.7驱动,作为Claude Enterprise的一部分,已有数百家企业用于发现多年未被察觉的漏洞。合作伙伴包括CrowdStrike、Palo Alto Networks、SentinelOne等主流安全厂商。该工具支持全代码库推理分析、置信度评级、定期扫描及多格式导出,显著提升安全响应效率。
微软计划将Anthropic的Mythos AI模型整合到其安全开发生命周期(SDL)中,标志着前沿AI正式进入核心网络安全工作流程。Mythos能够发现主流操作系统和浏览器中数千个严重漏洞,显著缩短漏洞发现与利用之间的时间窗口。分析人士指出,此举将推动软件供应商重构产品开发方式,AI辅助安全工具的普及压力也将逐步扩展至更多企业。
Anthropic推出的AI代码安全模型Mythos能够自动化识别代码漏洞,在已知漏洞类型的检测上表现出色,但对未知漏洞的发现能力有限。目前该工具通过"玻璃翼计划"限定可信合作伙伴使用。文章认为,随着AI工具持续演进并逐步普及,代码安全将类似航空安全的发展轨迹——从充满隐患逐步走向系统性可控,人机协作将是未来安全体系的核心模式。
Mozilla近日发文披露,借助Anthropic提供的早期访问权限,其AI模型Mythos Preview在Firefox 150发布前预先识别出271个安全漏洞。相比之下,此前Opus 4.6模型分析Firefox 148时仅发现22个漏洞。Firefox CTO Bobby Holley表示,Mythos的能力与顶尖安全研究人员相当,可大幅降低漏洞发现成本,使网络防御方获得决定性优势。Mozilla同时呼吁,开源项目维护者也应尽快获得此类AI工具的访问权限。
Mozilla近日分享了使用Anthropic旗下Claude Mythos Preview模型的实际成果:在最新版Firefox浏览器中,该AI帮助团队发现并修复了271个安全漏洞。Mozilla表示,目前尚未发现任何人类能找到而该模型无法识别的漏洞类型。这一成果为Anthropic的Project Glasswing计划提供了有力的第三方背书。Mozilla同时指出,AI目前并不能发现超越人类能力的漏洞,只是效率更高。
Mozilla基金会测试了Anthropic的漏洞检测AI模型Mythos,在Firefox 150中发现271个安全漏洞,远超此前22个的记录。Mozilla CTO Bobby Holley对此喜忧参半:一方面担忧修复压力,另一方面认为这标志着安全防御者迎来转机。他指出,Mythos的能力与顶级人类安全研究员相当,目前尚未发现人类能找到而AI找不到的漏洞类别。他认为,AI将漏洞发现成本大幅降低,有助于打破攻防不对称格局,让防御方真正占据优势。
Anthropic宣布启动"玻璃翼项目",旨在利用AI技术保护全球关键软件免受AI驱动的网络攻击。该项目合作伙伴包括亚马逊AWS、苹果、谷歌、微软、英伟达等知名企业。参与方将使用Anthropic未发布的Claude Mythos Preview模型来增强自身安全项目,该模型已发现数千个可利用漏洞。
谷歌Linux内核工程师Roman Gushchin发布了名为Sashiko的AI代码审查系统,该工具用Rust编写,专门用于发现漏洞和筛选代码。测试显示,Sashiko能发现53%基于近期上游问题的漏洞,这些问题此前都被人类审查员遗漏。系统通过分析邮件列表中的补丁并向维护者提供反馈来工作,误报率控制在20%范围内。该工具属于Linux基金会,目前运营成本由谷歌承担。
微软Azure CTO使用Anthropic的Claude Opus 4.6分析了1986年为Apple II处理器编写的汇编代码,AI不仅解释了代码,还进行了安全审计,发现了隐藏数十年的逻辑错误。研究显示LLM在发现漏洞方面已能媲美行业标准静态分析工具。但专家担忧,AI既能帮助修复漏洞,也可能被恶意利用攻击无法打补丁的遗留系统。
OpenAI正式发布Codex Security人工智能安全代理工具,专门用于发现、验证和修复代码漏洞。该工具在测试期间扫描了120万次提交,发现792个关键漏洞和10561个高危漏洞,涉及OpenSSH、GnuTLS等多个开源项目。工具通过三步工作流程:分析代码库构建威胁模型、识别并分类漏洞、在沙盒环境验证后提供修复方案,有效降低误报率超过50%。
Mozilla工程师发现约10%的Firefox浏览器崩溃源于硬件位翻转而非软件错误,每周收到47万份崩溃报告中约2.5万份疑似硬件问题导致。与此同时,Firefox团队与Anthropic合作,利用Claude Opus 4.6模型成功发现14个高危漏洞并发布22个CVE补丁。该AI系统在数小时内就开始帮助修复漏洞,显著提升了浏览器安全性。
Anthropic刚发布的Claude Opus 4.6大语言模型在虚拟环境中成功识别出500个高危漏洞。该模型在没有具体指导的情况下,仅使用标准工具就发现了开源软件中的零日漏洞。目前Anthropic正在验证这些发现以确保准确性。这表明AI在漏洞发现方面可能很快超越人类专家的速度和规模,但也引发了关于AI生成低质量漏洞报告泛滥的担忧。
ZAST.AI宣布完成600万美元Pre-A轮融资,由高瓴资本投资。该公司在2025年发现数百个零日漏洞,涉及微软Azure SDK、Apache Struts等知名开源项目,成功获得119个CVE编号。其核心创新在于"自动PoC生成+自动验证"技术架构,利用AI深度分析代码,自动生成和验证漏洞概念验证代码,实现"零误报"突破,改变传统安全工具高误报率痛点。
近年来,生成式AI技术的发展让应用开发的门槛大幅降低,APP、小程序等应用程序的数量迎来大爆发,但与之相对的是应用安全没有引起相同量级的重视,大量应用漏洞在公网中暴露,用户资产与信息面临威胁。