Anthropic 今天把 Project Glasswing(玻璃之翼)项目的合作伙伴名单从 50 家扩到了 150 家,覆盖 15 个国家,电力、水务、医疗、通信、硬件制造五大类关键基础设施都在内。被开放访问的,是那款至今没向公众发布、却已经在圈内被神化的 Claude Mythos——Anthropic 自家定义为「第四层级」、能力跨过 Opus 4.6 一大截的前沿模型。
这件事的尺度,得从今年 4 月说起。那时 Anthropic 罕见地决定暂缓发布一个已经训练好的旗舰模型,理由是它在自主发现和利用软件漏洞这件事上「太能打」——首批 50 家伙伴拿到内测访问权后,两个月里通过它累计挖出约 1 万个高危漏洞。换句话说,每天 160 多个,且大量是潜伏十几二十年的老洞。这一次扩容到 150 家,可以理解为 Anthropic 内部对项目可控性、对自身防扩散机制做了一次正向验证后的「踩油门」。
为什么是 150 家、15 个国家?
Anthropic 给出的口径很清楚:聚焦那些「一旦被攻破,影响 1 亿人以上」的系统。从公布的领域来看,扩容后的合作方覆盖:
- 电力:跨区域电网调度、变电站控制系统
- 水务:城市供水 SCADA、污水处理 PLC
- 医疗:医院 EHR、影像系统、医疗器械固件
- 通信:电信运营商核心网、5G 基站固件、CDN
- 硬件制造:芯片设计 EDA 工具链、固件签发流水线
4 月首批的 50 家偏美国本土科技巨头——AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux 基金会、微软、英伟达、Palo Alto Networks,几乎是把美国关键软件生态的「上游」一网打尽。而这次新增的 100 家,更明显在做地理与垂直行业的纵深——从「保护写代码的人」变成「保护用代码的人」。这是一个非常关键的转向:上游的代码漏洞修了之后,得下沉到真正跑这些代码的工厂、医院、电网调度中心,才能在攻防节奏上抢得先手。
至于「15 个国家」具体是哪 15 个,Anthropic 这次没有完整披露,只表示新合作伙伴需通过相应的安全审查才能拿到访问权限。从今年 4 月以来与英国金融监管、加拿大顶级监管和大型银行的协调来看,扩容名单大概率以五眼联盟+欧盟核心国家+部分亚太盟友为主。
Mythos 到底比 Opus 4.6 强多少
这是开发者最该看的部分。Anthropic 自己披露的基准里,Mythos 与 Opus 4.6 不是渐进式提升,而是断层:
- CyberGym(漏洞复现):83.1% vs 66.6%,差距接近 20 个百分点
- GPQA Diamond(综合推理):94.6%
- Humanity's Last Exam(带工具):64.7% vs 53.1%
Anthropic 红队主管 Logan Graham 给出的内部口径是:Mythos 在漏洞挖掘与利用的端到端效率上,大约是上一代的 10 倍。需要强调,这不是「漏洞扫描器」式的提升,而是从静态扫描跨入了自主智能体级别的漏洞研究员——会读代码、会推理、会写 PoC、会把多个低危漏洞串成完整的提权链。
4 月公布的三个标志性案例,至今仍是行业里反复被引用的「分水岭时刻」:
- OpenBSD 中潜伏 27 年的远程崩溃漏洞。OpenBSD 是世界上被审计最彻底的操作系统之一,常用于防火墙——Mythos 自主发现的这个洞,攻击者只需建立连接就能让目标机器崩溃。
- FFmpeg 中潜伏 16 年的单行代码漏洞。这一行代码已经被自动化模糊测试工具攻击过 500 万次没出问题,Mythos 一眼看穿。
- Linux 内核多漏洞串联提权。Mythos 完全自主地把多个看起来不相关的小问题串成一条从普通用户到 root 的完整利用链。
这些都是无人工干预、完全自主的端到端发现+利用。这是为什么很多人形容它是「网络安全的 AlphaGo 时刻」。
Project Glasswing 的玩法
名字取自玻璃翼蝶——透明的翅膀让它隐藏在繁枝间,像极了潜伏在关键软件深处的漏洞。
合作伙伴拿到的是 Claude Mythos Preview 的访问权限,用来做四类工作:
- 本地漏洞检测:扫自己代码库里的源码
- 二进制黑盒测试:对付那些没有源码的第三方组件
- 端点安全:终端侧的入侵检测、行为分析
- 系统渗透测试:对生产环境做受控的红队演练
Anthropic 为整个项目承诺了 1 亿美元的模型调用额度,超出额度后按 25 美元/百万输入 token、125 美元/百万输出 token 计费——这个价格大致对标 Opus 级别,但 Mythos 的实际推理深度和 token 消耗要重得多。访问通道也很标准化:Claude API、Amazon Bedrock、Google Cloud Vertex AI、Microsoft Foundry 都能接入。
另外有两个细节值得开发者注意:
- 合作伙伴需要在 90 天内回流可公开的经验,Anthropic 自己也会出一份汇总报告
- 开源维护者可以通过「Claude for Open Source」计划单独申请访问
- 通过 Linux 基金会向 Alpha-Omega 与 OpenSSF 捐赠 250 万美元,向 Apache 基金会捐赠 150 万美元
这套设计的核心逻辑是:在攻击方拿到同等能力之前,先把全球关键软件的存量漏洞清一遍。Anthropic 反复强调,Mythos 这类能力的扩散是「以月计、不是以年计」,所以窗口期非常短。
攻防一体的悖论
这件事最微妙的地方在于:Mythos 既是盾,也是矛。Anthropic 自己写得很直白——「这些能力一旦落入坏人之手,将让网络攻击更频繁、更具破坏性」。
美国国会、CISA、NIST 的 AI 标准与创新中心都已经被 Anthropic 提前打过招呼,参议院情报委员会副主席 Mark Warner 直接喊话业界:要按 AI 发现漏洞的速度,对应地把补丁优先级也往前提。前美国网络司令部高官 Morgan Adamski 说得更露骨——「从对抗的角度看,这显然有巨大的进攻潜力」。
但这是个一体两面的事:你能在敌方系统里找到的漏洞,你自己的关键基础设施大概率也有。所以美国国家网络总监 Sean Cairncross 牵头组建了专项小组,挨个排查政府系统中容易被 AI 攻破的薄弱点。
华尔街的反应同样激烈。4 月 Mythos 有限发布当天,美国财长 Bessent、美联储主席 Powell 和华尔街高管开了闭门会——这种级别的紧急磋商,上次还是 2020 年疫情冲击。高盛已经拿到了优先访问权,所罗门在财报会上向投资人明确说要继续加码网络安全投入。英国金融监管、加拿大顶级监管和大行也都开了类似的会。
公众版?再等等
这次扩容并没有改变 Anthropic 的根本立场:Mythos 不会面向公众开放。
Anthropic 的路线图是:先在即将发布的新一代 Claude Opus 上首发与测试新的「网络安全护栏」——通俗讲,就是先让 Opus 学会「在某些请求下拒绝吐出漏洞利用代码」。等这套护栏被验证有效,能够检测并阻断模型最危险的输出,再考虑把 Mythos 级别的能力释放到更广的用户群。换句话说,公众短期内能拿到的,会是「阉割了攻击侧能力」的版本。
对开发者来说,这意味着两件事:
- 如果你不在那 150 家名单里,短期内别指望调到 Mythos。Anthropic Console 上的可选模型不会出现它。
- 但下一代 Opus 一旦发布,护栏机制本身会成为新模型的重要卖点——这也是观察 Anthropic 下一步发布的关键信号。
顺带一提,OpenAI Hub 这边的模型聚合接口对 Anthropic 公开发布的 Claude 系列(Haiku、Sonnet、Opus 全线)都已经做了 OpenAI 兼容封装,未来如果 Mythos 级模型走向更广开放,会第一时间同步接入。但在 Anthropic 自己解除访问限制之前,任何「Mythos 转售」的渠道大概率都是虚假宣传,开发者注意辨别。
一点判断
这次扩容不大不小,但信号意义比技术意义更重。它说明 Anthropic 把 Glasswing 当成长期项目在做——不是为了营销 Mythos,而是真的在赶漏洞修复 vs 漏洞扩散这场赛跑的时间。150 家、15 国,看起来很多,但放在「全球关键基础设施」这个分母下,仍然只是开始。
一个更尖锐的问题是:当一家私营公司手里握着一个能挖出 OpenBSD 27 年老洞的模型,它和政府之间的关系到底该怎么走?Anthropic 的选择是主动通报、主动协调、主动捐赠,把自己嵌进国家安全的叙事框架里。这条路能不能持续走下去、其他实验室会不会跟进,是接下来一两年里整个 AI 安全话题最值得看的剧情。
对开发者:现在能做的,就是认真对待 SBOM、把 CI 里的 SAST/DAST 跑起来、关注上游开源依赖的补丁节奏。在 AI 把攻击门槛打下去之前,先把自己的家底盘一遍,别等到补丁追不上漏洞那天才动手。
参考来源
- IT 之家:Anthropic 将向 150 家合作机构开放 Mythos 网络安全模型访问权限 —— 中文媒体对本次扩容公告的核心摘要
- linux.do:Claude Mythos 访问权限扩展至 150 家新组织 公众还得等阉割版 —— 开发者社区对官方博客的讨论与翻译