OpenBSD 的代码库里有一个藏了 27 年的漏洞。FFmpeg 里有一个藏了 16 年的漏洞,那段代码在被找到之前被调用过超过 5M次。把这两个东西挖出来的,不是任何一家漏洞赏金平台上的顶尖研究员,也不是谷歌 Project Zero。是 Anthropic 一个还没对外发布的模型,代号 Claude Mythos Preview。
4 月 7 日,Anthropic 宣布了 Project Glasswing。动作本身很简单,把 Mythos Preview 发给一份白名单。名单上有 AWS、苹果、谷歌、微软、英伟达、博通、思科、CrowdStrike、摩根大通、Linux 基金会、Palo Alto Networks,再加上约 40 家负责关键基础设施的机构。名单之外的人拿不到。Anthropic 明确说,短期内不计划把这个模型公开发布。
这是前沿实验室第一次主动把自己最强的东西锁起来。
过去两年,发布节奏几乎是条件反射。GPT、Gemini、Claude 的每一次跨代,都是「发布、观察、打补丁」。Anthropic 自己的「负责任扩展政策」(RSP)本质上也是一个承诺框架,达到某个能力门槛,就上对应等级的缓解措施,然后继续发。Glasswing 不是这个框架的下一步,是这个框架的第一次例外。一个已经被 Anthropic 自己判断为「不适合按原流程发布」的模型,被单独抽出来,只给守方。
Mythos Preview 做到了什么。官方的说法是「数千个零日漏洞,覆盖每一个主流操作系统和每一个主流浏览器」。比数字更能说明问题的是能力跨度。Claude 4.6 Opus 在自主漏洞开发这类任务上的成功率接近于零,也就是说,六个月前 Anthropic 自己最强的公开模型还完全做不了这件事。Mythos 能把多个互不相关的漏洞串成一条完整的攻击链,四步浏览器利用已经是被证明的例子。从「几乎为零」到「四漏洞链」,不是一次代际推进,是一次阶跃。
维护者那边已经感觉到了。Linux 内核的 Greg Kroah-Hartman 和 curl 的作者 Daniel Stenberg 最近都公开说过同一件事,过去一年,AI 生成的安全报告从「垃圾邮件级」变成了「真实、高质量、不能不看」。开源项目收到的报告数量在涨,质量也在涨,维护者的人力没涨。这是防御侧早就在吃的苦。Anthropic 的动作只是把这件事从模糊的焦虑推到了台面上。
值得看一眼白名单本身。三大云(AWS、谷歌、微软),三家硬件(苹果、英伟达、博通),两家网络设备厂(思科、Palo Alto Networks),一家端点安全公司(CrowdStrike),一家开源基础设施(Linux 基金会),一家银行。名单上只有一家银行,是摩根大通。
这不是随机的名额分配。Anthropic 画出的是一张「如果守不住就天塌」的地图。世界上绝大多数代码跑在这些公司的栈上,世界上绝大多数钱跑在其中一家的账上。白名单的逻辑不是「谁最需要」,是「谁倒了最先牵动所有人」。名单之外,Anthropic 另外给开源安全组织拨了 4M美元。钱给的是人力,模型给的是能力,合在一起就是一句话,给维护者几个月。
Anthropic 自己的措辞比名单更直接。公司在声明里写,「鉴于 AI 发展的速度,这类能力不会长期停留在致力于安全部署的参与者手中」。紧接着一句,「为全球网络基础设施辩护,可能需要数年」。
把这两句话放在一起看。Anthropic 判断,模型会流出或被复刻的时间窗是短的,守方把漏洞补干净的时间窗是长的。Glasswing 的全部意义就在这两个时间差之间。用一个受控的先手,换几个月到一年的补丁窗口。
这件事还有一个华盛顿维度。Anthropic 正在和美国政府就 Mythos Preview 的能力进行持续沟通,与此同时,它和美国国防部在军用 AI 的使用范围上有一场没了结的争执。一家公司一边拒绝把模型用在某些军事用途上,一边主动把这个模型发给 Linux 基金会和苹果的安全团队。这两件事不矛盾,是同一种判断的两面。Anthropic 在定义「这个模型可以用来做什么」,而不是把定义权留给用户。
Glasswing 最反常的地方不是它做了什么,是它什么时候做的。过去,AI 公司证明自己的方式是发布。现在,Anthropic 选择用「不发布」来证明。一个前沿实验室主动把自己最强的产品锁起来,并且说不是因为商业理由,不是因为对齐没做完,不是因为监管要求,是因为它自己算出来,开放的时间表已经追不上修复的时间表。
接下来几个月要看的,不是 Mythos Preview 本身,是白名单里那 50 来家机构在它身上跑出来的漏洞被补掉多少。再下一步要看的,是其他前沿实验室会不会跟。如果会,一个以「开放、迭代、开放」为节奏的行业,就第一次出现了「锁起来再说」的动作。如果不会,Anthropic 会是那个站在门口的人。手上攥着钥匙,看着时钟。
点击了解律动BlockBeats 在招岗位
欢迎加入律动 BlockBeats 官方社群:
Telegram 订阅群:https://t.me/theblockbeats
Telegram 交流群:https://t.me/BlockBeats_App
Twitter 官方账号:https://twitter.com/BlockBeatsAsia
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
