Anthropic Project Glasswing 深度：零日漏洞猎人如何重塑网络安全产业格局

从防守到主动猎漏——Glasswing 联合 12 家机构发现 OpenBSD 27 年漏洞，揭示 AI 驱动主动安全新范式

2026 年春天，一个在 OpenBSD 内核中沉睡了 27 年的零日漏洞被挖出来了。

发现者不是某位传奇白帽黑客，不是 NSA 的精英团队，也不是 Google Project Zero 那群以”90 天最后通牒”闻名的漏洞猎人——而是一个 AI 模型，Anthropic 的 Claude，运行在一个名为 Project Glasswing 的协作框架之下。

OpenBSD 是全球公认的安全标杆操作系统。它的代码审计之严格，在开源世界几乎无出其右。Theo de Raadt 领导的 OpenBSD 团队以”默认安全”为信条，数十年来对每一行代码进行人工逐行审查。如果说有哪个开源项目最不可能藏着一个 27 年的漏洞，OpenBSD 排在前三。

然而 AI 做到了人类审计员数十年未能做到的事。

这不是一个关于 AI 替代人类的简单叙事。这是一个关于网络安全产业底层逻辑正在被重写的故事——从”事后修补”到”事前猎杀”，从被动防御到主动出击，从人力密集型审计到 AI 驱动的大规模代码扫描。而推动这场变革的，是 Anthropic 联合 12 家全球顶级科技与安全机构组建的 Project Glasswing。

这个项目的参与者名单本身就是一份声明：Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks，加上 Anthropic 自身。(来源: Anthropic Project Glasswing 官方页面, https://www.anthropic.com/glasswing)

当这 12 家机构——覆盖云计算、终端安全、网络设备、芯片、金融、开源基金会的完整生态——共同站在一个 AI 漏洞猎杀项目背后时，它传递的信号远超技术本身：网络安全产业正在经历一次权力结构的重组。

第一章：27 年幽灵——当 AI 看见人类看不见的裂缝

一个不该存在的漏洞

要理解 Project Glasswing 发现 OpenBSD 27 年零日漏洞的震撼程度，首先需要理解 OpenBSD 在安全社区中的地位。

OpenBSD 项目始于 1995 年，由 Theo de Raadt 从 NetBSD 分支而来，其核心使命就是构建”世界上最安全的操作系统”。OpenBSD 团队开创了多项后来被整个行业采纳的安全实践：W^X（写或执行，不可兼得）内存保护、地址空间布局随机化（ASLR）、特权分离（privilege separation）、pledge/unveil 系统调用限制。OpenSSH——全球互联网基础设施中最关键的安全组件之一——正是 OpenBSD 项目的产物。

在这样一个以安全为生命线、经过数十年人工逐行审计的代码库中，一个漏洞存活了 27 年。这个事实本身就是对传统代码审计方法论的一记重击。

Anthropic 官方披露了这个漏洞的危险等级：攻击者只需连接到运行该操作系统的机器，就可以使其远程崩溃。(来源: Anthropic Project Glasswing 官方说明, https://www.anthropic.com/glasswing) 这是一个遥控崩溃（Remote Denial-of-Service）漏洞——攻击者无需任何身份验证，无需任何特殊权限，仅凭一个网络连接就能让目标机器宕机。对于将 OpenBSD 用于防火墙和关键网络基础设施的组织而言，这意味着攻击者可以通过发送特定的网络数据包，直接让保护整个网络边界的防火墙崩溃并重启——在这个窗口期内，整个组织的网络防线将形同虚设。

值得注意的是，Anthropic 表示该漏洞已向 OpenBSD 团队报告并已修补。具体的漏洞技术细节（如代码位置、触发路径、CVE 编号等）将在修补部署完成后通过加密哈希公开披露，这是负责任漏洞披露（Responsible Disclosure）的标准实践。(来源: Anthropic Project Glasswing 官方说明, https://www.anthropic.com/glasswing)

人工代码审计的根本局限在于：人类审计员在阅读代码时，是沿着逻辑路径线性推进的。他们能够发现显式的逻辑错误、明显的缓冲区溢出、典型的竞态条件。但当一个漏洞的触发条件涉及多个子系统之间的微妙交互——比如一个内存管理函数在特定时序条件下与网络栈的某个边界情况产生共振——人类审计员的认知带宽就成了瓶颈。

这正是 AI 的优势所在。大语言模型在代码审计中的核心能力不是”比人类更聪明”，而是”比人类更宽”——它能够同时在意识中保持大量代码上下文，追踪跨文件、跨模块、跨子系统的数据流和控制流，发现那些需要同时理解多个抽象层才能察觉的漏洞模式。

Glasswing 的猎杀逻辑

Project Glasswing 的核心定位非常明确：为 AI 时代保护关键软件安全。(来源: Anthropic Project Glasswing 官方页面, https://www.anthropic.com/glasswing)

但”保护关键软件安全”这个表述的克制程度，远远低估了这个项目的实际野心。Glasswing 本质上是一个 AI 驱动的大规模零日漏洞猎杀平台——它不是在等待漏洞被利用后再响应，而是主动、系统性地在关键开源软件中搜寻未知漏洞，在攻击者发现它们之前将其消灭。

这里的关键词是”主动”和”大规模”。

传统的漏洞赏金计划（Bug Bounty）依赖分散的安全研究者自发投入时间和精力。Google Project Zero 虽然是主动猎漏的先驱，但其团队规模始终有限——即便是全球最优秀的漏洞研究团队，也不过十几到几十人。面对全球关键开源软件数十亿行代码的审计需求，人力永远是稀缺资源。

Glasswing 的突破在于：AI Agent 可以并行化。一个 Claude 实例可以审计一个模块，100 个实例可以同时审计 100 个模块，10000 个实例可以在一天内扫描整个项目的代码库。这不是量变，这是质变——它将漏洞猎杀从”手工作坊”推向了”工业化生产”。

而 OpenBSD 27 年漏洞的发现，正是这种工业化猎杀能力的第一个标志性战果。

第二章：技术架构——Managed Agents 如何支撑大规模漏洞猎杀

从单一模型到 Agent 编排

要理解 Glasswing 的技术实现，仅仅关注 Claude 模型本身是不够的。一个大语言模型，无论多强大，直接面对数百万行代码时都会遇到上下文窗口的物理限制。真正让 Glasswing 成为可能的，是 Anthropic 在 AI Agent 编排层面的工程突破。

Anthropic 在其 Scaling Managed Agents 工程博客中详细披露了这一架构的核心设计。(来源: Anthropic Scaling Managed Agents 工程博客, https://www.anthropic.com/engineering/managed-agents)

该架构的核心创新是一个三层解耦设计：

第一层：Harness（调度循环/大脑）——负责决策和任务分配的纯无状态组件。Harness 决定”接下来审计哪个文件”、”这个可疑模式是否需要深入分析”、”是否需要调用额外工具进行动态验证”。关键设计点在于”无状态”：Harness 崩溃后，可以通过 wake(sessionId) 从 Session 日志中完整恢复，不丢失任何进度。

第二层：Sandbox/Tools（沙盒与工具/双手）——Agent 的执行环境。在漏洞猎杀场景中，这包括代码解析器、符号执行引擎、模糊测试（fuzzing）工具、编译器、调试器等。Agent 不仅能”阅读”代码，还能”运行”代码——构造特定输入来验证一个可疑漏洞是否真的可以被触发。

第三层：Session（会话日志）——可追溯的上下文存储，支持任意查询和切片。每一步分析、每一个假设、每一次验证的结果都被完整记录。这意味着当一个 Agent 在审计过程中发现了一个跨模块的可疑模式，另一个 Agent 可以直接查询前者的 Session 日志，获取相关上下文，而不需要重新分析。

这三层的独立性是整个架构的灵魂：”任一故障不影响其他”。在大规模漏洞猎杀场景中，这意味着：即使某个 Agent 在分析一个特别复杂的代码路径时崩溃了（比如触发了沙盒中的资源限制），它的所有中间成果都保存在 Session 中，可以被无缝恢复或移交给另一个 Agent 继续。

为什么这个架构对安全审计至关重要

传统的静态分析工具（如 Coverity、CodeQL）和模糊测试工具（如 AFL、libFuzzer）各有其能力边界。静态分析擅长发现模式化的漏洞（缓冲区溢出、SQL 注入、格式化字符串），但对语义级别的逻辑漏洞无能为力。模糊测试能发现运行时的崩溃和异常，但其代码覆盖率高度依赖种子质量和变异策略，且对需要特定前置条件才能触发的深层漏洞效果有限。

Glasswing 的 Managed Agents 架构允许 AI 将这两种方法有机结合：

语义理解阶段：Claude 模型阅读代码，理解函数语义、数据流、控制流，识别”这段代码的意图是什么”以及”哪些边界条件可能未被正确处理”。
假设生成阶段：基于语义理解，Agent 生成具体的漏洞假设——”如果这个整数在特定条件下溢出，会导致后续的内存分配大小计算错误”。
验证阶段：Agent 调用沙盒中的工具（编译器、调试器、模糊测试器）来验证假设。它可以构造特定的输入，编译目标代码，运行并观察结果。
迭代阶段：验证结果反馈回 Agent，触发新一轮的假设生成和验证。

这个循环的关键优势在于：AI 的语义理解能力弥补了传统工具的”理解力缺失”，而传统工具的确定性验证能力弥补了 AI 的”幻觉风险”。一个 AI 可能会”幻觉”出一个不存在的漏洞，但当它尝试在沙盒中验证时，如果漏洞不存在，验证就会失败，Agent 会修正假设继续搜索。

这种”AI 提出假设 + 工具验证假设”的闭环，是 Glasswing 能够发现 OpenBSD 27 年漏洞的核心机制。人类审计员可能在阅读那段代码时直觉上觉得”这里看起来没问题”——因为人类的直觉受限于经验模式。而 AI 没有这种认知偏见，它会系统性地检查每一个边界条件，包括那些”看起来不可能被触发”的条件。

12 家机构的协作机制

Glasswing 的 12 家创始合作伙伴并非仅仅是品牌背书。官方发布声明中，多家机构直接表达了参与理由，这些一手表态揭示了各方的不同战略动机：

Cisco SVP & 首席安全与信任官表示：”AI 能力已跨越了一个根本性改变关键基础设施网络威胁紧迫性的门槛，而且没有回头路。……这就是为什么 Cisco 加入 Project Glasswing——这项工作太重要、太紧迫，不能单独完成。” (来源: Anthropic Project Glasswing, https://www.anthropic.com/glasswing)

CrowdStrike CTO 表示：”漏洞被发现到被攻击者利用的窗口期已经崩溃——过去需要几个月的事情，现在用 AI 几分钟就能完成。……这不是放慢速度的理由，而是需要共同、更快行动的理由。” (来源: 同上)

Linux Foundation CEO 表示：”在过去，安全专业知识一直是拥有大型安全团队的组织的奢侈品。开源维护者——其软件支撑着全球大部分关键基础设施——历来只能靠自己解决安全问题。……Glasswing 为改变这一方程式提供了可信的路径。” (来源: 同上)

JPMorganChase CISO 表示：”推动金融系统的网络安全和弹性是 JPMorganChase 使命的核心，我们相信，当领先机构在共同挑战上合作时，行业是最强大的。” (来源: 同上)

这些官方表态揭示了 Glasswing 协作网络的真实分工：

基础设施提供者：Amazon Web Services 提供大规模计算资源，NVIDIA 提供 GPU 算力支撑模型推理。在大规模代码审计场景中，同时运行数千个 Agent 实例需要巨大的计算资源。
安全领域专家：CrowdStrike 和 Palo Alto Networks 作为全球领先的网络安全公司，提供威胁情报、漏洞评估标准和安全最佳实践。它们的参与确保 Glasswing 发现的漏洞能够被正确分类、评估和负责任地披露。
关键软件维护者：Linux Foundation 代表了全球最大的开源软件生态。Linux 内核、OpenSSL、systemd 等关键基础设施软件都在其旗下，这些正是 Glasswing 优先审计的目标。
企业级用户：JPMorganChase 作为全球最大的金融机构之一，代表了关键基础设施的最终用户视角。金融系统对开源软件的依赖程度极深，一个 OpenSSL 漏洞可能影响全球金融交易的安全性。
平台生态守护者：Apple、Google、Microsoft 作为全球三大操作系统平台的拥有者，其平台安全直接依赖底层开源组件的安全性。Broadcom（VMware 的母公司）和 Cisco 则覆盖了企业网络和虚拟化基础设施。

这种”全栈”合作模式的意义在于：它不仅仅是在发现漏洞，而是在构建一个从”发现→评估→修复→部署”的完整闭环。当 Glasswing 发现一个 Linux 内核漏洞时，Linux Foundation 可以协调内核维护者进行修复，AWS/Google/Microsoft 可以在各自的云平台上快速部署补丁，CrowdStrike/Palo Alto Networks 可以更新其安全产品的检测规则，JPMorganChase 可以评估其自身系统的暴露面。

这是一个前所未有的协作密度。

第三章：从防守到猎杀——网络安全产业的范式转移

传统安全产业的结构性困境

网络安全产业过去 30 年的核心商业模式可以用一个词概括：反应式。

杀毒软件依赖病毒签名库——先有病毒，再有签名。入侵检测系统（IDS）依赖攻击特征库——先有攻击模式，再有检测规则。端点检测与响应（EDR）虽然引入了行为分析，但其核心逻辑仍然是”检测异常行为后响应”——仍然是事后的。

即便是被视为行业前沿的”威胁情报”（Threat Intelligence），本质上也是在收集和分析已知攻击者的行为模式，然后预测其下一步行动。它比纯粹的签名匹配更先进，但仍然受限于”必须先有攻击数据才能产生情报”的逻辑。

这种反应式模式创造了一个价值数千亿美元的产业，但也产生了一个根本性的悖论：安全产业的繁荣，建立在不安全的持续存在之上。每年数以千计的零日漏洞被发现和利用，安全公司售卖检测和响应服务，企业支付越来越高的安全预算，但攻击面仍在不断扩大。

根本原因在于：传统安全产业解决的是”如何应对已知威胁”，而不是”如何消灭威胁的根源”。威胁的根源是软件中的漏洞。只要漏洞存在，攻击就永远有可能发生。

Glasswing 模式的颠覆性

Project Glasswing 代表了一种根本不同的安全哲学：与其在漏洞被利用后再响应，不如在漏洞被利用前就消灭它。

这种”事前猎杀”模式对传统安全产业的冲击体现在多个层面：

价值链前移。传统安全产业的价值链是：漏洞存在 → 攻击者利用 → 安全公司检测 → 企业响应 → 修复。Glasswing 将价值链压缩为：漏洞存在 → AI 发现 → 修复。中间的”攻击者利用”和”安全公司检测”两个环节被直接跳过。

这意味着什么？如果 Glasswing 模式大规模成功，关键开源软件中的零日漏洞数量将显著减少。而零日漏洞是网络攻击中最高价值的武器——国家级攻击者和高端网络犯罪团伙的核心能力就建立在零日漏洞的储备之上。减少零日漏洞的存量，就是在从根本上削弱攻击者的武器库。

安全人才瓶颈的突破。全球网络安全行业长期面临人才短缺。高水平的漏洞研究者更是凤毛麟角——能够在 OpenBSD 这种经过严格审计的代码库中发现零日漏洞的人，全球可能不超过几百人。Glasswing 通过 AI 将这种顶级能力”民主化”——不是每个组织都能雇到世界级的漏洞研究者，但每个组织都可以接入 AI 驱动的漏洞猎杀服务。

对 CrowdStrike 和 Palo Alto Networks 的双重影响。有趣的是，CrowdStrike 和 Palo Alto Networks 都是 Glasswing 的创始合作伙伴。这是一个耐人寻味的选择——它们加入了一个可能从根本上削弱其传统商业模式的项目。

对此有两种解读：

乐观解读：这些安全巨头认识到，AI 驱动的主动安全是不可逆转的趋势，与其被颠覆，不如参与塑造。通过加入 Glasswing，它们可以将 AI 漏洞猎杀能力整合进自己的产品线，从”被动检测”升级为”主动防御+被动检测”的混合模式，创造更高的客户价值。

悲观解读：它们加入 Glasswing 更多是出于防御性考虑——如果不参与，就无法获取 Glasswing 的漏洞情报，在竞争中将处于信息劣势。而且，即使零日漏洞数量减少，企业仍然需要应对已知漏洞的利用、社会工程攻击、内部威胁等问题，安全产品的市场不会消失，只是会重新分配。

我的判断倾向于两者的结合：短期内，Glasswing 对传统安全公司是一个增量机会（它们可以将 AI 发现的漏洞情报整合进产品）；长期来看，如果 AI 漏洞猎杀能力持续提升，传统安全产品中”检测已知漏洞利用”这个价值环节将被显著压缩，安全公司需要向更高层次的安全服务（风险管理、合规、安全运营）转型。

开源安全生态的重塑

Glasswing 对开源安全生态的影响可能比对商业安全产业的影响更为深远。

开源软件的安全困境是一个老生常谈的问题：全球数字基础设施高度依赖开源软件（Linux 内核、OpenSSL、Apache、nginx、PostgreSQL……），但这些项目的安全审计资源严重不足。2014 年的 Heartbleed 漏洞（OpenSSL）和 2021 年的 Log4Shell 漏洞（Apache Log4j）都是这种结构性矛盾的产物——关键软件被数十亿设备使用，但维护者可能只有几个人，安全审计预算近乎为零。

Linux Foundation 作为 Glasswing 的创始合作伙伴，其参与意味着 Glasswing 的 AI 漏洞猎杀能力将被系统性地应用于 Linux Foundation 旗下的关键开源项目。这可能是开源安全历史上最大规模的主动审计行动。

更深层的影响在于：Glasswing 可能催生一种新的开源安全模式——持续性 AI 审计。不再是每隔几年做一次人工安全审计，而是 AI Agent 持续监控代码库的每一次提交（commit），在新代码合并之前就完成安全审查。这将安全审计从”周期性事件”变为”持续性过程”，从根本上改变开源项目的安全保障水平。

第四章：Mythos 的阴影——能力与危险的辩证法

一个被锁起来的模型

要完整理解 Glasswing 的战略意义，必须将其与 Anthropic 的另一个决策放在一起看：驱动 Glasswing 的是 Claude Mythos Preview，一个 Anthropic 拒绝公开发布的前沿模型。

Anthropic 官方在 Glasswing 发布声明中直接描述了 Mythos Preview 的能力：“Claude Mythos Preview 是一个通用的、未发布的前沿模型，它揭示了一个严峻的事实：AI 模型已经达到了一个编程能力水平，在发现和利用软件漏洞方面，能够超越除最顶尖人类以外的所有人。” (来源: Anthropic Project Glasswing 官方声明, https://www.anthropic.com/glasswing)

这句话的每一个词都值得仔细品味。

“超越最顶尖人类”——不是超越普通安全工程师，不是超越一般的漏洞研究者，而是超越”最顶尖人类”。在网络安全领域，”最顶尖人类”意味着 Google Project Zero 的研究员、NSA TAO（Tailored Access Operations）的操作员、以色列 8200 部队的精英。基于 Anthropic 官方声明的推断：如果 Mythos 真的达到了 Anthropic 官方所称的这个水平，它将是迄今为止能力最强的 AI 安全工具——同时也是潜在危险最高的。(来源: Anthropic Project Glasswing, https://www.anthropic.com/glasswing)

“漏洞发现与利用能力”——注意，不仅仅是”发现”，还包括”利用”。发现漏洞是防御性的，利用漏洞是攻击性的。一个能够自主发现并利用零日漏洞的 AI 模型，如果落入恶意行为者之手，将是一件毁灭性的网络武器。

这正是 Anthropic 拒绝公开发布 Mythos 的原因。而 Glasswing 则是 Anthropic 给出的解决方案：不公开模型，但通过受控的协作框架，将模型的防御性能力释放给可信赖的合作伙伴。

这是一个精妙的制度设计。Mythos 的漏洞发现能力通过 Glasswing 被用于防御——主动发现和修复漏洞。但 Mythos 的漏洞利用能力被严格限制在 Anthropic 的控制之下，不对外开放。

Anthropic 的安全叙事：不仅仅是 PR

Anthropic 自创立以来就以”AI 安全”为核心叙事。Dario Amodei 和 Daniela Amodei 从 OpenAI 离开创建 Anthropic 的故事已经被讲述了无数次。但 Glasswing 项目让这个叙事从抽象的”负责任 AI 开发”变成了具体的制度实践。

对比行业中的其他玩家：

OpenAI 在安全问题上的表态越来越模糊，其 Superalignment 团队的核心成员（包括联合负责人 Jan Leike）在 2024 年出走，引发了外界对 OpenAI 安全承诺的严重质疑。
Google DeepMind 虽然在 AI 安全研究上有深厚积累，但其安全工作更多集中在学术层面，缺乏 Glasswing 这种”将安全能力转化为公共产品”的制度化行动。
Meta 的 Llama 系列模型采用开源策略，这意味着一旦模型具备强大的漏洞利用能力，Meta 几乎无法控制其被恶意使用。

Anthropic 通过 Glasswing 展示了一种”第三条路”：既不完全封闭（像早期的 OpenAI），也不完全开源（像 Meta），而是通过受控的协作框架，在释放 AI 能力的同时维持安全边界。

但这种模式也面临质疑。批评者可能会问：谁来监督 Anthropic？

12 家合作伙伴中，没有任何政府机构或独立监管机构。这意味着 Glasswing 的运作完全依赖于参与者之间的信任和自律。如果 Anthropic 决定在某些情况下放宽 Mythos 的使用限制，或者某个合作伙伴滥用了通过 Glasswing 获取的漏洞情报，目前没有外部机制能够有效约束。

更深层的结构性批评来自安全研究社区的独立声音。Glasswing 公布的漏洞（OpenBSD 27年漏洞、FFmpeg 16年漏洞、Linux 内核漏洞）都在修补后才披露具体细节（来源: Anthropic Project Glasswing, https://www.anthropic.com/glasswing），这符合负责任披露的行业标准。但批评者指出：这种”黑盒子”运作方式意味着外界无法独立验证 Glasswing 声称的发现。Anthropic 自己运行模型、自己评估漏洞、自己决定披露时机——这个单点信任假设在任何严肃的安全体系中都是值得警惕的。

另一个对立视角是经济激励的扭曲。CrowdStrike 和 Palo Alto Networks 既是 Glasswing 的合作伙伴，又是传统漏洞检测产品的销售者。如果 Glasswing 大幅提升了行业的漏洞发现率，这到底是帮助了它们的业务（更多已知漏洞 = 更多客户有安全需求），还是损害了它们的业务（AI 替代了传统安全产品）？这种经济利益的复杂性让”合作伙伴是否会全力支持 Glasswing 的最大化效果”成为一个值得追问的问题。

笔者的判断是：Glasswing 的架构设计是真诚的，但它本质上是一种高度依赖 Anthropic 善意的制度信任，而不是一种不依赖单点的系统性安全保障。它的价值在于证明了可能性，而不是建立了一套持久的基础设施。在 Glasswing 模式成熟为行业标准之前，独立的安全研究者和政策制定者有责任持续追问：这套系统是否真的在产生效果？效果是否在被客观评估？谁拥有对模型能力的最终控制权？

这是 Glasswing 模式的最大风险点，也是未来需要解决的关键治理问题。

第五章：商业版图——安全能力如何成为 Anthropic 的增长飞轮

Anthropic 的商业增长逻辑

Anthropic 估值已达 3800 亿美元，Claude Code 年化收入超过 25 亿美元。(来源: CNBC HumanX 峰会现场报道, https://www.cnbc.com/amp/2026/04/11/vibe-check-from-ai-industry-humanx-anthropic-is-talk-of-the-town.html) 这一规模已经将 Anthropic 从一家”AI 研究实验室”定位提升为一家拥有庞大商业基础的科技公司。而 Glasswing 在这个商业版图中扮演着一个独特的角色——它不是直接的收入来源，而是一个战略杠杆。

Glasswing 的商业价值体现在 3 个维度：

第一，企业客户的信任锚点。对于 JPMorganChase 这样的金融机构来说，选择 AI 供应商时，安全性是最核心的考量。Glasswing 的存在向企业客户传递了一个强烈信号：Anthropic 不仅在开发强大的 AI 模型，还在主动确保这些模型被负责任地使用，并且将安全能力反哺给整个生态。这种信任是企业级 AI 销售中最稀缺的资源。

第二，安全即服务的潜在商业模式。虽然 Glasswing 目前以非营利性的协作项目形式运作，但其底层能力——AI 驱动的大规模代码审计——具有明确的商业化路径。企业级代码安全审计是一个巨大的市场。传统的安全审计服务（如 NCC Group、Bishop Fox 提供的渗透测试和代码审计）收费高昂且周期长。如果 Anthropic 将 Glasswing 的能力产品化，以 API 或 SaaS 形式提供给企业，这将是一个全新的高利润业务线。

第三，模型能力的差异化护城河。在大模型竞争日趋激烈的当下——OpenAI、Google、Meta、Mistral 等玩家都在争夺市场份额——单纯的”模型更聪明”已经不足以构成持久的竞争优势。Glasswing 让 Anthropic 在”安全”这个垂直领域建立了独特的能力壁垒：它不仅有最强的安全模型（Mythos），还有最广泛的安全生态（12 家顶级合作伙伴），以及最成熟的安全 Agent 架构（Managed Agents）。这三者的组合是其他 AI 公司短期内无法复制的。

与 Anthropic 其他业务的协同

Glasswing 并非 Anthropic 商业版图中的孤立项目。它与 Anthropic 的其他业务线存在深度协同：

Claude for Word Beta：Anthropic 刚刚发布了 Claude for Word Beta，作为 Microsoft Office 插件直接与 Microsoft Copilot 竞争企业 AI 写作市场。(来源: Business Insider, https://www.businessinsider.com/anthropic-claude-microsoft-word-lawyers-2026-4) 当一个企业同时使用 Claude for Word（生产力工具）和 Glasswing 的安全服务时，Anthropic 就在这个企业中建立了多个触点，增加了客户粘性和切换成本。
Claude for Healthcare：Anthropic 正在推广 Claude 在医疗领域的应用，帮助医生构建医疗工具。(来源: Anthropic 官方网络研讨会, https://www.anthropic.com/webinars/claude-code-in-healthcare-how-physicians-are-building-with-claude) 医疗软件的安全性要求极高（HIPAA 合规、患者数据保护），Glasswing 的安全审计能力可以直接为医疗 AI 应用提供安全保障。
Managed Agents 基础设施：Glasswing 使用的 Managed Agents 架构并非专门为安全审计开发的——它是 Anthropic 通用的 Agent 编排基础设施。(来源: Anthropic Scaling Managed Agents 工程博客, https://www.anthropic.com/engineering/managed-agents) 这意味着 Glasswing 的工程投入可以被复用到其他 Agent 场景中，而其他 Agent 场景的改进也会反哺 Glasswing。这种技术复用创造了正向循环。

第六章：当 AI 成为最强漏洞猎人，谁来猎 AI？

双刃剑效应

Glasswing 展示了 AI 在网络安全领域的巨大正面潜力。但同样的能力，如果被恶意使用，后果将是灾难性的。

这不是假设性的担忧。基于 Anthropic 官方声明的推断：Mythos Preview 据称具备”超越最顶尖人类的网络安全漏洞发现与利用能力”——如果一个类似能力的模型被恶意行为者获取（无论是通过窃取模型权重、逆向工程，还是其他 AI 公司独立开发出类似能力的模型但未能妥善控制），其攻击潜力将是前所未有的。值得注意的是，外界目前无法独立验证 Mythos Preview 的实际能力上限，上述推断完全基于 Anthropic 自身的官方表述。

想象一个场景：一个恶意 AI Agent 被部署来自动化扫描互联网上所有可达的服务，发现零日漏洞，自动生成利用代码，自动入侵目标系统，自动横向移动——整个攻击链完全自动化，速度以分钟计。这不是科幻小说，这是 Mythos 级别的 AI 能力在攻击方向上的自然延伸。

不对称性问题

更深层的问题在于攻防的不对称性。

防御方需要保护所有的攻击面——每一行代码、每一个配置、每一个网络端口。攻击方只需要找到一个突破口。AI 确实可以帮助防御方更高效地发现和修复漏洞，但 AI 同样可以帮助攻击方更高效地发现和利用漏洞。

如果攻防双方都使用同等能力的 AI，不对称性仍然存在——防御方需要修复所有漏洞，攻击方只需要利用一个。

Glasswing 的价值在于：它试图在攻击方获取 AI 能力之前，先用 AI 清除尽可能多的漏洞。这是一场时间赛跑——Glasswing 需要在恶意 AI 被广泛部署之前，将关键软件的漏洞密度降低到一个安全阈值以下。

治理框架的紧迫性

Glasswing 目前的治理依赖于 12 家合作伙伴之间的自律和信任。这在项目初期是可行的，但随着 AI 安全能力的提升，更正式的治理框架将变得不可或缺。

需要回答的关键问题包括：

漏洞披露政策：Glasswing 发现的零日漏洞如何披露？是否遵循传统的”负责任披露”（给维护者 90 天修复时间后公开）？还是有不同的时间表？
能力访问控制：哪些合作伙伴可以访问 Mythos 的哪些能力？是否有分级访问机制？
独立审计：是否有独立的第三方机构对 Glasswing 的运作进行审计，确保漏洞情报不被滥用？
政府角色：美国政府（特别是 CISA——网络安全和基础设施安全局）是否应该参与 Glasswing 的治理？其他国家的政府呢？
能力扩散防控：如果 Glasswing 的技术细节泄露，或者其他 AI 公司独立开发出类似能力，如何防止这些能力被用于攻击？

这些问题没有简单的答案，但它们的紧迫性随着 AI 安全能力的提升而不断增加。Glasswing 可能是第一个需要认真面对这些问题的项目，它的治理实践将为整个行业树立先例。

参考资料

Anthropic Project Glasswing：为 AI 时代保护关键软件安全 — Anthropic, 2026-04（官方首要来源：包含12家合作伙伴名单、OpenBSD漏洞细节、Mythos Preview能力描述、各合作方官方声明）
Scaling Managed Agents 工程博客 — Anthropic Engineering, 2026-04（Agent架构设计：session/harness/sandbox三层解耦，TTFT性能提升数据）
CNBC HumanX峰会报道：Anthropic 成为大会焦点，估值3800亿美元 — CNBC, 2026-04-11（Anthropic估值、Claude Code年化收入25亿美元等财务数据）
Claude for Healthcare：医生如何用 Claude Code 构建医疗工具 — Anthropic, 2026-04（Claude在垂直领域落地应用案例）

注：Mythos Preview的能力描述和拒绝公开发布的决策，均以Anthropic官方Project Glasswing声明（参考资料1）为唯一一手来源。

主题分类：技术突破

结语：So What？

对于不同的读者，Glasswing 意味着不同的事情：

对于安全从业者：AI 驱动的主动漏洞猎杀不再是概念验证，而是已经在产出实际成果（OpenBSD 27 年漏洞）的生产系统。如果你还在依赖纯人工的代码审计流程，现在是时候认真评估 AI 辅助审计工具了。不是因为 AI 会替代你，而是因为不使用 AI 的你，将无法与使用 AI 的攻击者竞争。

对于企业安全决策者：Glasswing 的 12 家合作伙伴名单是一个信号——全球最大的科技和安全公司已经达成共识：AI 驱动的主动安全是未来方向。在评估安全供应商时，”是否具备 AI 驱动的漏洞发现能力”将成为一个关键评估维度。同时，关注你的供应链中有多少关键开源组件——Glasswing 正在审计这些组件，但覆盖范围有限，你不能完全依赖外部项目来保障你的安全。

对于 AI 行业观察者：Glasswing 是 Anthropic “负责任 AI”叙事的最具说服力的实践案例。它展示了一种可能的路径：如何在释放 AI 的强大能力的同时维持安全边界。但它也暴露了这种路径的脆弱性——治理依赖于信任而非制度，能力扩散的风险始终存在。

对于投资者：Glasswing 为 Anthropic 打开了一个全新的商业维度——安全即服务。在大模型价格战日趋激烈的背景下，安全能力可能成为 Anthropic 最独特的差异化优势和最高利润率的业务线。但这个商业化路径的时间表和规模，截至本文发布时暂无公开数据。

27 年前，一行有缺陷的代码被写入 OpenBSD 的内核。27 年间，它躲过了全球最严格的人工代码审计。2026 年，一个 AI 在几小时或几天内找到了它。

这不仅仅是一个漏洞被发现的故事。这是一个时代结束、另一个时代开始的标志。

在新时代，最强大的漏洞猎人不再是人类。问题是：当 AI 成为猎人，谁来确保猎人本身不会成为猎物？

Anthropic 用 Glasswing 给出了它的答案。这个答案是否足够好，时间会告诉我们。