AI开始比顶级黑客更会找漏洞了：Anthropic拉上苹果、微软、谷歌组队“补天”

当 AI 学会“拆门锁”，科技公司决定先把它请去当保安

如果把过去十多年的网络安全史浓缩成一句话，大概就是：软件世界从来不缺漏洞，只是大多数时候，能把漏洞挖出来、再顺手利用掉的人并不多。这个门槛，曾经保护了很多系统。现在，Anthropic 说，这个门槛正在被 AI 快速铲平。

这家公司最新宣布的 Project Glasswing，可以看作一次相当罕见的“行业集体备战”。参与方名单长得像一场科技春晚：Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks，外加 40 多家维护关键基础设施软件的机构。它们要做的事情很直接：把 Anthropic 一款尚未发布的前沿模型 Claude Mythos 2 Preview，用在关键软件的漏洞扫描和修补上。

这不是普通意义上的“AI辅助编程”新闻。Anthropic 的说法非常猛：这款模型已经能够在发现和利用软件漏洞方面，超越除极少数顶尖专家之外的大多数人类安全研究员。更夸张的是，它已经在“所有主流操作系统和主流浏览器”里发现了数千个高危漏洞，其中不少是零日漏洞，也就是连软件开发者自己都还不知道的问题。

这类表述当然需要保留一分审慎，但即便打个折，它释放出的信号也足够清晰：网络安全进入了一个新的时间段。过去大家担心的是 AI 会不会写恶意代码；现在更现实的问题是，AI 正在变成一个不会累、不抱怨、还能 24 小时翻代码的漏洞猎手。

最让人后背发凉的，不是 AI 找到漏洞，而是它找到的是“老漏洞”

Anthropic 公布的几个案例很有代表性，也很有戏剧性。

一个案例发生在 OpenBSD 上。懂安全的人都知道，OpenBSD 一直以“安全洁癖”闻名，几乎是操作系统世界里那种把门窗都焊死、还要再贴三层封条的存在。结果 Mythos Preview 竟然挖出了一个存在了 27 年的漏洞，攻击者只要远程连上去，就能让机器崩溃。另一个案例是 FFmpeg——这个几乎无处不在的多媒体处理组件，被无数软件调用。AI 找到的漏洞藏在一行代码里，而自动化测试工具此前已经跑过那段代码 500 万次，却始终没发现问题。还有一个更现实：模型能把 Linux 内核中的多个漏洞串起来利用，从普通用户权限一路抬升到整台机器的完全控制权。

这几件事说明了一个关键变化：AI 的价值不只是“多跑几轮扫描”，而是开始表现出接近资深安全研究员的推理能力。网络安全里最难的部分，从来不是发现程序崩溃，而是理解复杂代码路径、推断边界条件、猜测开发者当年留下的“历史包袱”，最后把若干看似不致命的小问题串成真正的攻击链。Anthropic 的说法是，这些发现很多几乎是在没有人工引导的情况下完成的。换句话说，AI 不只是会用工具，它开始像人一样“琢磨”。

这也正是让人兴奋又不安的地方。一个能发现 27 年陈年漏洞的模型，当然可以帮防守方补上旧账；可一旦类似能力扩散到不受约束的攻击者手里，后果也并不难想象。SolarWinds、WannaCry、Colonial Pipeline 这些名字之所以令人记忆深刻，就是因为大家已经见过关键系统出问题时，现实世界会怎样跟着抖三抖：医院停摆、油管中断、政府系统受影响，损失不只是数据，更可能是秩序。

为什么现在这件事格外重要：漏洞修复的节奏，快不过 AI 提速的节奏

Anthropic 在公告里反复强调一件事：AI 进步的速度，是按“几个月”算的；而修补全球软件基础设施，可能要按“几年”算。这不是公关辞令，而是今天安全行业最真实的张力。

很多关键软件并不是由财大气粗的大公司独立维护的。现实往往更朴素，甚至有些荒诞：一个全球数十亿设备都在调用的开源组件，背后可能只有寥寥几个维护者，平时靠热情和咖啡支撑。过去几年，开源供应链安全已经因为 Log4Shell、XZ 后门风波等事件被反复敲钟。如今 AI 的到来，会把这种不对称进一步放大：攻击者可以用 AI 更快地筛漏洞，而维护者如果没有同等级别的工具，就只能继续靠肉眼、靠经验、靠熬夜。

Project Glasswing 的现实意义，恰恰在这里。Anthropic 承诺为这项计划提供最高 1 亿美元的 Mythos Preview 使用额度，并向开源安全组织直接捐赠 400 万美元。这笔钱买不到“绝对安全”，但至少说明，行业里有人开始认真面对一个事实：未来的安全能力，不该只属于最富有的公司，也应该流向那些撑着数字基础设施底盘的开源项目。

从行业格局看，这也像是 AI 安全竞赛的一次公开加速。OpenAI、Google、微软这几年都在谈“AI 用于网络防御”，也分别拿出过自动化漏洞发现、威胁分析和安全 Copilot 类产品。Anthropic 这次不同的地方，在于它把话说得更重：不是“AI 能提升一点效率”，而是“AI 已经接近甚至超过顶级人类能力的某些区间”。如果这个判断成立，那么安全行业接下来会发生的，不是工具升级，而是方法论翻修。

科技巨头联手是好消息，但也带来一个不太舒服的问题

这次参与 Glasswing 的公司阵容之豪华，足以说明大家对这件事的共识。AWS 说它每天分析超过 400 万亿次网络流量，AI 已成为其大规模防御的核心。微软提到 Mythos Preview 在它的开源安全基准 CTI-REALM 上表现显著提升。CrowdStrike 的话更直接：过去漏洞从发现到被利用，可能还有几个月窗口；现在在 AI 的加持下，这个时间可能被压缩到“分钟级”。

但这场合作越宏大，越让人想追问一个问题：当最强的漏洞发现能力集中在少数前沿模型公司和头部平台手里，谁来定义使用边界？谁能审计这些模型到底看到了什么、学会了什么、又被谁调用了什么？

这不是阴谋论，而是前沿 AI 在安全领域必须面对的治理难题。网络安全工具和别的 AI 产品不同，它天然具有“双重用途”属性。一个能帮助修复浏览器漏洞的模型，理论上也能帮助写出更有效的攻击链。Anthropic 现在选择的是相对谨慎的路径：模型不公开发布，只向可信伙伴和关键基础设施组织开放，用于防御工作；已披露的漏洞也遵循修复后再公开细节的负责任披露原则。这些安排是必要的，但还不够回答长期问题。

更现实一点说，今天是 Anthropic 联合一批大公司先行试水，明天呢？如果类似能力变得像大模型 API 一样普及，全球的软件维护体系是否准备好了？监管框架是否跟得上？那些没有加入联盟、也没有足够预算的小公司和中小机构，会不会反而成为 AI 时代最脆弱的“侧门”？

这可能不是一条新闻，而是网络安全新纪元的开场白

从 DARPA 十年前办 Cyber Grand Challenge 开始，业界就在想象“机器自动找漏洞、自动修漏洞”的那一天。如今看来，那一天不是没来，而是来得比很多人想象中更陡。Anthropic 给出的基准成绩也在强化这种感受：在 CyberGym 这类漏洞复现评估中，Mythos Preview 达到 83.1%，明显高于其另一个模型 Claude Opus 4.6 的 66.6%。这种代际差距提醒我们，前沿模型的能力提升不再是线性的“多一点聪明”，而可能是跨过某个阈值后的质变。

作为记者，我对这件事最大的感受有两个。一个是惊喜。长期以来，网络安全总像在打一场注定辛苦的防守战，修补总比攻击慢半拍。如果 AI 真能帮助防守方抢回速度优势，那会是少见的技术红利。另一个是警惕。历史已经反复证明，任何能显著降低攻击门槛的技术，都会在短时间内改变威胁版图。脚本小子会变得更危险，国家级攻击者会变得更高效，而安全团队的焦虑只会更具体。

所以，Project Glasswing 最重要的意义，可能并不只是找到多少个漏洞，而是它替整个行业提前敲响了钟：AI 不是即将影响网络安全，它已经在重写网络安全。接下来比拼的，恐怕不再是谁的模型更会写代码，而是谁能更快把这种能力锁进一套可靠的制度、流程和协作网络里。

如果做不到，AI 带来的就不只是“更聪明的软件工程师”，还可能是“批量生产的超级漏洞猎人”。而这个职业，放在错误的人手里，听上去可一点都不浪漫。