六周内两场AI网络安全军备竞赛:当Glasswing遇见Daybreak

Anthropic的Claude Mythos在数周内发现了数千个高危漏洞,包括一个潜伏27年的OpenBSD漏洞和一个存在16年的FFmpeg缺陷。OpenAI随即推出Daybreak对标。两大AI实验室几乎同时把最强模型对准了全球软件基础设施的心脏地带——这是人类历史上最有力的防御工具诞生的时刻,还是一场迟早失控的军备竞赛的开端?

2026年4月,Anthropic发布了一份令整个网络安全界震惊的公告。

他们有一个从未公开的前沿模型,名叫Claude Mythos Preview。在内部测试中,这个模型已经发现了数千个高危软件漏洞,包括在每一个主要操作系统和浏览器中都发现了严重缺陷。其中有一个漏洞,在OpenBSD的代码库里潜伏了整整27年。还有一个FFmpeg的漏洞,存在了16年。还有一条能够提权到Linux内核的完整攻击链。

然后他们说:这个模型不会公开发布。

取而代之的,是Project Glasswing:一个联合12家科技与安全巨头,专门把这个能力用于防御目的的特别计划。

六周之后,OpenAI宣布了Daybreak。

Mythos到底做到了什么?

在讨论这场军备竞赛之前,需要先理解一件事:为什么一个AI模型发现漏洞,会让安全界如此震动?

软件漏洞的发现,传统上依赖三种方式:静态代码分析工具(运行快但分析浅,误报率高)、人工代码审查(分析深但速度慢、成本高)、红队渗透测试(贴近实战但规模受限)。这三种方式都有一个共同的天花板:人类的时间和认知带宽。

在庞大的代码库中寻找安全漏洞,尤其是那些需要跨越多个模块、经过数层间接调用才能被触发的深层漏洞,要求安全研究员在脑海里同时维持极长的上下文链条。一个优秀的安全工程师也许需要几周时间才能完全理解一个复杂系统的攻击面;在顶级的安全团队里,这样的工程师极为稀缺,而且他们的时间是有严格上限的。

OpenBSD那个27年的漏洞之所以潜伏27年,不是因为没有人审查过那段代码,也不是因为那段代码没有重要性。OpenBSD是历史上最注重安全性的操作系统之一,它的安全审计文化在整个开源界都是标杆。那个漏洞潜伏了27年,是因为它足够隐蔽,足够需要系统性的上下文理解才能看见,而人类的注意力和时间总是有限的。

Claude Mythos能系统性地发现这一类漏洞。不是偶尔,不是依靠运气,而是用AI特有的大规模并行、超长上下文处理能力,在人类专家无法触达的深度和规模上扫描代码。

Anthropic在Glasswing公告中措辞非常谨慎,但核心含义清晰:“AI模型已经达到了一个编码能力的水平,能够在发现和利用软件漏洞方面超越除最顶尖专家之外的所有人类。”

这句话值得反复细读。它不是说AI”可以辅助”安全工程师,也不是说AI”在特定场景下有价值”。它说的是:在这项任务上,AI已经超越了几乎所有人类。这是一个能力跨越的宣言,而不是一个功能发布公告。

Project Glasswing:用速度换速度的防御赌注

Anthropic发布Glasswing的逻辑,在公告中表达得相当坦率,近乎警觉:

“AI进步的速度意味着,这种能力不久后将扩散,可能扩散到那些不承诺负责任使用它的行为者手中。防御者必须先行动。”

这是一种先发制人的防御逻辑:与其等待攻击者用同等能力的AI来发现并利用漏洞,不如先把这个能力用于大规模修复,尽可能地缩小全球软件的攻击面

Glasswing计划的12个创始合作伙伴,覆盖了全球软件生态中最关键的各个层面:云基础设施(AWS)、操作系统和终端设备(Apple、Microsoft、Linux Foundation)、网络安全(Cisco、CrowdStrike、Palo Alto Networks)、芯片与硬件(Broadcom、NVIDIA)、金融基础设施(JPMorganChase)、互联网底层(Google)。

这个名单不是随机拼凑的。它代表了全球最关键的软件生态的核心维护者。如果Mythos在这些平台里发现了漏洞,那些漏洞在理论上是全球最优先需要被修复的一批,因为这些平台的受影响范围可能涉及数十亿设备和无数关键基础设施。

除了12个核心合作机构,还有超过40个额外组织获得了Mythos Preview的访问权限,主要包括构建和维护关键软件基础设施的公司和开源组织,用于扫描和修复第一方及开源系统。

Anthropic的承诺:向这些参与机构提供最高1亿美元的Mythos Preview使用额度,同时向开源安全组织直接捐赠400万美元现金

这是一笔规模不小的公益投资。但从另一个角度看,这1亿美元的使用额度,也是Anthropic在用自己的资源为整个互联网的安全基础买保险——因为如果这些漏洞被攻击者利用,后果将以超过任何人能够控制的速度蔓延。

OpenAI Daybreak:六周之后,一个商业化路径的回应

2026年5月11日至12日,OpenAI宣布了Daybreak。

Sam Altman在公告中写道:“OpenAI正在启动Daybreak,这是我们加速网络防御、持续保障软件安全的努力。”

Daybreak基于GPT-5.5,同时提供一个专门针对网络安全场景调优的变体GPT-5.5-Cyber,结合Codex作为Agent执行层,帮助企业客户实现持续的软件安全扫描和修补。它的定位是”让软件在设计阶段就具备弹性,不只是修补漏洞,而是从根本上让系统对漏洞具有抵抗力”。

Daybreak覆盖的用例包括:安全代码审查、漏洞分类与优先级排序、恶意代码分析、检测工程优化、补丁验证、自动化红队测试和渗透测试。

从时间线看,这一宣布发生在Anthropic Glasswing公告之后约六周,也正好紧随GPT-5.4-Cyber(OpenAI的上一代网络安全专用模型)发布之后。OpenAI的节奏是清晰的:快速迭代,在Anthropic建立的竞争叙事框架下跟进和对标。

两种哲学,两条路径

对比Glasswing和Daybreak,最有意思的不是技术差异,而是两种计划背后的分发哲学截然不同。

Glasswing的哲学:管控的、联盟式的防御

Mythos Preview不对公众开放。访问权限仅授予承诺将能力用于防御性目的的特定机构。Anthropic建立了一个封闭的、有门控的生态,核心逻辑是:把这个能力关在一个可信赖的圈子里,在圈子内部最大化修复效果,同时把泄露到恶意行为者手中的风险降到最低。

这种哲学的代价,是速度和规模受限。封闭圈子里的合作机构,无论有多强,都无法覆盖全球软件生态的每一个角落。

Daybreak的哲学:市场化的、开放式的防御工具

GPT-5.5和GPT-5.5-Cyber通过API向企业客户开放。任何公司只要订阅了相关服务,都可以把这个能力集成到自己的安全工程流程里。OpenAI的逻辑是:让能力尽可能广泛地分发到防御者手中,用市场机制推动安全实践的普及。

这种哲学的代价,是无法像Glasswing那样保证能力不被滥用——因为一旦API化,控制权就在于使用者的意图,而不是工具本身。

两种路径各有利弊,没有一个简单的对错。但它们代表了AI时代网络安全能力分发的两条不同道路,而这两条道路将在接下来几年里相互竞争,证明或证伪各自的假设。

进攻与防守的悖论:同一种能力的两个方向

这场军备竞赛的深处,隐藏着一个AI时代网络安全的根本悖论:发现漏洞和利用漏洞,依赖的是同一种底层能力

当Mythos Preview能够系统性地发现一个27年前的OpenBSD漏洞时,这也意味着:一个拥有类似能力模型的攻击者,同样能够发现那个漏洞,并在补丁发布之前的窗口期内,对所有运行OpenBSD的系统实施大规模攻击。

这不是假设的未来场景。Glasswing公告明确表示:”鉴于AI进步的速度,不久后这种能力可能扩散到不承诺负责任使用的行为者手中。”

翻译成更直白的语言:Anthropic认为,在未来某个不太遥远的时间点,全球会有其他行为者——无论是国家级黑客组织、网络犯罪团伙,还是技术能力极强的个人——能够使用类似Mythos这样能力级别的AI工具,大规模发现并利用软件漏洞。

这个预判,才是Glasswing计划真正的紧迫性来源。

历史上有一个令人警醒的先例。NSA开发的EternalBlue漏洞利用工具,最初是为了防御性情报收集而开发的。2017年被Shadow Brokers黑客组织盗取并泄露后,它直接催生了WannaCry和NotPetya两场席卷全球的大规模勒索软件攻击,仅NotPetya的估计损失就超过100亿美元,影响从乌克兰电网到全球航运巨头马士基的业务系统。

那次教训的核心:防御性工具一旦落入攻击者手中,其破坏力远超原始设计的防御用途。这个逻辑,在AI驱动的漏洞发现能力上,将以比EternalBlue时代大得多的规模重演。

Claude Mythos的Preview标签消失了

就在Glasswing公告的硝烟还未散去时,另一个值得警觉的信号出现了。

2026年5月17日,监控Google Cloud Vertex AI控制台的观察者发现了一个细节:Claude Mythos的基础模型出现在配额和系统限制列表中,而且“Preview”(预览)标签已经消失

对于熟悉Anthropic发布节奏的人来说,这个信号含义清晰。此前,Claude Opus 4.7曾以完全相同的方式,先在Vertex AI控制台出现、Preview标签消失,然后在数天内正式向公众发布。

如果这个信号可信,Anthropic最强的前沿模型——那个发现了数千个高危漏洞、被Anthropic严格控制只用于防御性目的的Mythos——可能即将面向所有用户正式发布。

这将是一个极其微妙的时刻,也将是整个Glasswing哲学的压力测试。

Glasswing计划的核心假设之一,是将Mythos的能力控制在可信任的机构圈子里,通过管控分发来防止能力落入恶意行为者手中。一旦Mythos正式GA(全面可用),这个控制机制将从”谁可以访问”转变为”API Terms of Service里的使用限制”。

任何有账号的个人开发者、任何创业公司、任何研究团队,都将能够通过API调用这个能力。用途将难以全面监控,滥用将难以在事前预防。

这不是说正式发布是错误的。能力的普及推动防御者的普及,这也是Daybreak路径的核心逻辑。但这将意味着,Glasswing那种”管控圈子”式的防御逻辑,将让位于一个更开放、更难控制的新现实。

历史的镜子:从EternalBlue到Mythos

在分析这场竞赛之前,历史给了我们一个值得警醒的镜像。

2017年,美国国家安全局(NSA)开发的EternalBlue漏洞利用工具被神秘的Shadow Brokers黑客组织盗取并在网上公开发布。EternalBlue原本是NSA用于情报收集的防御性研究工具,专门利用Windows SMB协议中的一个严重漏洞。一旦这个工具进入了公开领域,其破坏力就超出了任何人的预期。

2017年5月,WannaCry勒索软件袭击了全球150个国家、超过23万台计算机,英国国家医疗服务系统(NHS)的大量医院被迫停摆。三周后,NotPetya伪装成勒索软件的恶意攻击以乌克兰为起点席卷全球,仅马士基(全球最大航运公司之一)一家的损失估计就达到3亿美元,全球总损失超过100亿美元。

那次事件的教训至今仍在安全界被反复引用:防御性研究工具,一旦脱离了设计者的控制,其破坏潜力可以远超原始防御用途

Mythos是一个比EternalBlue强大得多的工具。EternalBlue是一个已知漏洞的利用工具,而Mythos是一个能自主发现未知漏洞的AI系统。前者的危险在于利用速度,后者的危险在于发现能力本身。

Glasswing的封闭分发策略,很大程度上是为了避免重演EternalBlue模式,区别在于规模和速度的量级都将大得多。

安全界的真实反应:不是欢呼,是复杂情绪

Glasswing发布之后,安全界最有经验的研究者们并没有一边倒地欢呼雀跃。相当一部分人提出了一个根本性的、尚无答案的质疑。

首先是信任链的脆弱性。Glasswing承诺只向”承诺防御性使用”的机构开放Mythos。但12个创始合作伙伴,加上40多个额外组织,这是一个相当大的圈子。任何一家机构内部的任何一个拥有访问权限的员工,都可能成为这个能力泄露的薄弱环节。人不是可以100%可信的防火墙,即使是JPMorganChase和Google内部也不例外。

其次是能力对称性问题。”发现漏洞”和”利用漏洞”在技术上几乎是同一个能力的两个方向。一个能够系统性发现27年老漏洞的AI,和一个能够系统性构建针对那些漏洞的攻击载荷的AI,在底层推理和代码理解能力上几乎没有本质差异。你无法在”防御能力”和”进攻能力”之间划一条干净的界限,因为它们共享同一个基础模型。

第三是速度不对称的担忧。防御需要找到所有漏洞并修复,攻击只需要找到一个漏洞并利用。即使Glasswing联盟能够以前所未有的速度发现和修复漏洞,攻击者也只需要在修复窗口期内利用其中一个,就可以造成重大破坏。这种防攻不对称性,是网络安全领域的基本困境,而AI的引入将这个不对称放大了,而不是消除了。

这些担忧不代表Glasswing和Daybreak不应该做。但它们提示:AI网络安全工具的发展,比其他任何AI应用领域都更需要谨慎的治理框架,以及跨国家和机构的协调机制。

对企业的实际意义:从旁观者到参与者

Glasswing联盟和Daybreak的公布,对大多数企业而言意味着什么?不是每家公司都能加入Glasswing的精英圈子,但有几件事是所有拥有软件基础设施的组织现在就可以做的。

第一,重新评估软件的漏洞时效性。 在AI能够系统性发现代码库深层漏洞之前,”已经跑了十年没出问题的代码”是相对安全的。在AI时代,这个假设不再成立。任何关键系统——特别是涉及数据处理、权限控制、网络通信的代码——都值得主动进行一次系统性的AI辅助安全扫描。

第二,观察Daybreak的实际效果。 OpenAI的Daybreak最终是一个可以通过API访问的商业产品。对中型企业来说,用GPT-5.5-Cyber对自己的代码库做一次漏洞扫描,门槛将远低于雇用顶尖安全专家进行全量代码审计。这是一个值得在接下来3至6个月内认真评估的新工具。

第三,关注修复窗口期的速度。 从AI模型发现漏洞到补丁发布,中间有一段时间窗口。在这段时间里,了解同类漏洞的攻击者有机会利用它。未来,随着AI发现漏洞的速度加快,这个窗口期可能被压缩,但这也意味着修复的响应速度必须同步加快。

写在这场竞赛的第一个回合

让我们退一步,看这整件事的轮廓。

在六周之内,全球最强的两个AI实验室先后把各自最强的模型指向了全球软件基础设施的安全性。Anthropic用私密合作联盟的方式,OpenAI用商业API产品的方式。驱动两者的底层逻辑是相同的:AI发现漏洞的能力已经超越了人类专家,而这个能力的扩散是不可阻止的,所以防御者必须先行动

这是一个既令人振奋、又令人深感不安的时刻。

令人振奋的是:人类软件基础设施中那些潜伏了十年、二十年、甚至二十七年的暗渠,第一次有可能被系统性地、大规模地清理。那些只有极少数顶尖安全专家才能发现的细微漏洞路径,现在可以被AI以工业级的速度和规模扫描。医院的信息系统、电网的控制软件、银行的交易核心,这些系统里可能存在的那些沉睡的定时炸弹,有机会在被引爆之前被找到和拆除。这是几十年来网络安全领域迎来的最重要的进展,也是防御者第一次在能力上获得了真正意义上的非线性优势。

令人不安的是:这个能力是双向的。防御者在用它修复漏洞,攻击者——无论是国家级黑客组织、有组织的网络犯罪团伙,还是动机复杂的技术激进主义者——也在等待或已经在构建同等能力。而且AI的进步没有理由只惠及防御者,每一个提升防御能力的技术突破,也同样提升了攻击者的潜在武器库。

Glasswing和Daybreak是防御侧的先发动作,是在这场竞赛中防守方尝试建立先手优势的努力。它们能否领先到足够产生决定性优势,取决于一个核心变量:防御者发现和修复漏洞的速度,能否持续快于攻击者获得同等能力并加以利用的速度?

这个问题,在接下来的12到24个月里,将以某种我们目前还无法完全预见的方式得到解答。Glasswing和Daybreak是这场博弈的序幕,而不是终章。真正的考验,将在第一次有记录的、AI驱动的大规模攻击与AI驱动的防御正面交锋时到来。届时,我们将知道,这六周内发生的这一切,是否真的足够。

在这场竞赛的开端,也许最值得做的事情是:不只是问”谁赢了这一局”,而是问”我们作为整个技术社区,是否已经为这个新的现实做好了准备”。Glasswing联盟的12家机构,加上OpenAI的Daybreak平台,代表的是一种准备好了的姿态。而全球数以百万计运行着未经AI安全扫描的遗留软件的系统,代表的是准备还远远不足的现实。这两者之间的距离,是接下来AI网络安全领域真正需要缩短的距离。

参考来源

本文属于”AI安全”深度分析系列,关注AI能力边界拓展对网络安全格局的系统性重塑。