上週,人工智能公司 Anthropic 引發廣泛關注,宣佈其最新模型 Mythos 在發現安全漏洞方面表現出色,甚至可能引發混亂。爲了防止這種混亂的發生,Anthropic 啓動了名爲 Project Glasswing 的計劃,允許 50 多家行業合作伙伴測試這一先進的模型,以便在網絡攻擊者利用這些漏洞之前,及時發現並修復自身產品的安全隱患。

Anthropic、克勞德

雖然 Project Glasswing 的參與者尚未完全披露,但已經確認包括亞馬遜網絡服務、蘋果、谷歌、微軟等知名公司。這一計劃的目的在於通過與選定的企業合作,利用 Mythos 尋找和解決產品中的漏洞。

據 VulnCheck 的研究員 Patrick Garrity 的分析,目前對 Project Glasswing 的漏洞發現情況尚無確鑿的數據。他通過 CVE 數據庫對包含 “Anthropic” 關鍵詞的記錄進行了搜索。儘管發現了 75 個與 Anthropic 相關的記錄,但其中 35 個是針對 Anthropic 自家工具或第三方集成的漏洞,無法歸類爲 Glasswing 發現的漏洞。

剩餘的 40 個漏洞記錄可能與 Glasswing 相關,但仍不能確定其歸屬。根據 Garrity 的分析,這 40 個漏洞的來源涉及 Anthropic 的核心研究團隊、個別研究人員 Nicholas Carlini,以及獨立安全研究公司 Calif.io。

從漏洞的分佈情況來看,28 個漏洞與 Mozilla 的 Firefox 瀏覽器有關,9 個則存在於 wolfSSL 嵌入式 SSL/TLS 庫中,還有 1 個漏洞涉及 F5 的 NGINX Plus 應用交付平臺,以及 FreeBSD 和 OpenSSL 各有 1 個。

目前,唯一一個可以明確與 Glasswing 直接關聯的 CVE 是 CVE-2026-4747,這是一種遠程代碼執行漏洞,允許攻擊者獲得 FreeBSD 上運行 NFS 的機器的 root 權限。儘管 Anthropic 曾提到其他一些漏洞,但這些漏洞尚未被分配 CVE。

Garrity 表示,關於 Project Glasswing 的完整情況,公衆仍需等待相關信息的披露。Anthropic 預計將在 2026 年 7 月發佈總結報告,建議其建立專門的安全公告頁面,以便向公衆透明地披露研究團隊和 Project Glasswing 發現的漏洞。

劃重點:  

🛡️ Anthropic 啓動 Project Glasswing,允許 50 多家公司使用其模型 Mythos 進行漏洞測試。  

🔍 目前未確定 Project Glasswing 發現的漏洞數量,只有 40 個可能與該計劃相關。  

📅 預計到 2026 年 7 月,Anthropic 將發佈關於漏洞發現的公開總結報告。