当 AI 模型具备发现软件漏洞的能力时,一个悖论随之浮现:模型越强大,越需要被 "锁起来"。Anthropic 于 2026 年 4 月启动的 Project Glasswing,正是对这一悖论的工程化回应。该项目通过约 50 家合作伙伴的实际运行,展示了如何在释放前沿 AI 安全研究能力的同时,构建可审计、可撤销、可协调的访问控制体系。
三层架构:从模型行为控制到访问层治理
传统 AI 安全策略侧重于模型内部的行为约束 —— 通过训练对齐和内容过滤防止有害输出。Glasswing 的设计哲学发生了根本转变:将安全控制从模型行为层迁移到访问控制层。这一转变意味着,Mythos Preview 的能力本身不再被削弱,而是通过严格的准入机制来决定谁能使用、在何种场景下使用、使用过程如何被记录。
第一层是资质审查与协议约束。合作伙伴需经过 upfront vetting,签署正式使用协议。这种审查不仅针对技术能力,更关注组织的合规历史和安全治理成熟度。第二层是分层权限与动态撤销。访问并非一次性授权,而是根据使用场景分配不同级别的权限,并保留实时撤销的能力 —— 一旦检测到潜在滥用,访问可立即终止。第三层是审计日志与合规报告。所有使用行为被详细记录,支持监管审查和董事会级监督,形成可追溯的责任链条。
这种架构设计回应了一个核心问题:当 AI 具备自主发现和利用漏洞的能力时,如何防止其被恶意使用?答案不是削弱 AI,而是严格控制接触 AI 的主体。
审计透明机制:90 天窗口与漏洞仪表盘
Glasswing 的透明性承诺体现在其协调漏洞披露(Coordinated Vulnerability Disclosure, CVD)政策中。该政策遵循软件行业的 90 天惯例:漏洞发现后 90 天内披露,若补丁提前完成则在补丁可用后约 45 天披露。这一时间窗口平衡了用户保护与信息透明 —— 过早披露可能让攻击者利用未修复的漏洞,过晚披露则损害安全研究的开放性。
Anthropic 还建立了公开的漏洞仪表盘,追踪从发现到披露的完整流程。数据显示,在 1,752 个经独立安全公司评估的高危 / 严重漏洞中,90.6% 被验证为真阳性,62.4% 确认为高危或严重级别。这种第三方验证机制是审计透明的关键环节 —— 它防止了模型输出被盲目采信,也建立了安全研究的可信度基准。
然而,透明性存在边界。Anthropic 明确表示,在补丁广泛部署前不会披露完整的技术细节。这种 "滞后透明" 策略引发了一些批评,但也反映了当前 AI 安全研究的真实困境:发现能力已远超修补能力。
工程实践:Cloudflare 与 Mozilla 的接入经验
Glasswing 的架构在实际运行中展现出显著成效。Cloudflare 在一个月内使用 Mythos Preview 发现 2,000 个漏洞,其中 400 个为高危或严重级别,且误报率被认为低于人工测试。Mozilla 在 Firefox 150 的测试中发现 271 个漏洞,是 Firefox 148 使用 Claude Opus 4.6 时的 10 倍以上。
这些案例揭示了企业接入 Mythos Preview 的工程路径。首先是代码映射与威胁建模—— 使用威胁模型构建器识别潜在攻击目标并优先处理。其次是分布式扫描与结果分流—— 利用子代理(subagents)并行扫描大型代码库,再由主代理进行结果汇总和去重。第三是人工验证与报告生成—— 安全团队对模型输出进行复现和严重性重新评估,然后向维护者提交详细报告。
值得注意的是,Anthropic 已将部分工具向符合条件的企业安全团队开放,包括自定义技能(skills)、代码扫描框架和威胁模型构建器。这种工具化降低了其他组织接入类似能力的门槛,同时保持了访问控制的核心原则。
透明性争议:数据黑箱与修补瓶颈
安全专家 Bruce Schneier 对 Glasswing 提出了尖锐批评。他指出,Anthropic 拒绝公布详细数据,仅要求外界 "信任我们"。更关键的是,发现的漏洞几乎未被修补 —— 在报告的 530 个高危 / 严重漏洞中,仅 75 个获得修补,65 个获得公开通告。Schneier 认为数据存在 "疑点",披露率与发现量严重不匹配。
这一批评揭示了 AI 安全研究的深层张力:透明性悖论。安全研究社区需要开放数据以验证和改进方法,但模型能力的敏感性要求限制信息披露。与此同时,修补瓶颈已成为更紧迫的问题。Mythos Preview 发现漏洞的速度远超开源社区和企业的修补能力,平均修补时间达两周,部分维护者甚至要求 Anthropic 放慢披露节奏。
这种 "发现 - 修补" 时间窗口的放大,实际上增加了风险而非降低风险。攻击者可能利用公开披露的信息攻击尚未修补的系统,而防御者却因资源限制无法及时响应。Anthropic 承认这是 "网络安全的新阶段",但解决方案 —— 缩短补丁周期、强化基础安全控制 —— 并非新技术,而是对现有实践的加速要求。
可落地的受控 AI 安全研究框架
基于 Glasswing 的经验,企业可以设计类似的受控 AI 安全研究框架。以下是关键参数和检查清单:
访问控制参数:
- 准入审查:评估申请者的安全治理成熟度、合规历史和项目合法性
- 分层授权:根据使用场景分配只读、扫描、验证等不同权限级别
- 动态撤销:建立实时监控系统,设置自动触发阈值(如异常查询模式、非工作时间高频访问)
审计日志要求:
- 记录维度:查询内容、输出摘要、使用时间、使用者身份、验证结果
- 保留周期:建议不少于 90 天,与漏洞披露周期对齐
- 审查频率:季度合规审查,年度第三方审计
披露协调机制:
- 时间窗口:高危漏洞 90 天,严重漏洞 45 天(若补丁提前完成)
- 验证流程:独立安全公司复现 → 严重性重评估 → 维护者报告 → 补丁验证 → 公开通告
- 透明度边界:技术细节在补丁部署率超过 80% 后披露
风险缓解措施:
- 为开源维护者提供补丁开发支持(Anthropic 已向 OpenSSF Alpha-Omega 项目提供资助)
- 建立漏洞修复优先级算法,优先处理被广泛依赖的组件
- 监控补丁部署进度,对部署率低的漏洞考虑延长披露前保密期
Project Glasswing 展示了 AI 安全研究的一种可能路径:通过严格的访问控制和审计机制,在释放前沿能力的同时防止滥用。然而,它也暴露了当前 AI 安全生态的脆弱性 —— 发现能力已超越修补能力,透明性承诺与实际操作之间存在张力。对于企业而言,借鉴 Glasswing 的架构设计,同时建立更务实的修补支持机制,可能是应对这一新阶段的务实选择。
资料来源:
- Anthropic, "Project Glasswing: An initial update" (2026-06)
- Bruce Schneier, "Anthropic's Project Glasswing Update" (2026-06-08)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。