AI创业内参
AI风向

【AI风向】Anthropic公布Glasswing首月战报:AI用6周找出10000+高危漏洞,安全行业游戏规则已变

AI创业内参

当人类安全研究员花27年都没发现的漏洞被AI几小时找到,整个网络安全的攻防经济学已经发生了不可逆的转变。

事件回顾

5月22日,Anthropic发布了Project Glasswing的首份进展更新。这个在4月7日启动的网络安全合作计划,在短短六周内交出了一份令人震惊的成绩单:Claude Mythos Preview模型在全球最关键的基础软件中,找出了超过10,000个高危及严重级别的安全漏洞

这可不是普通的漏洞扫描器在跑自动化规则。Glasswing的合作伙伴包括AWS、Apple、Microsoft、Google、CrowdStrike、Palo Alto Networks、Cisco、Broadcom、JPMorganChase和Linux基金会等约50家组织。这些机构把Mythos用在了真正的核心系统上——操作系统内核、主流浏览器、关键网络协议栈——那些安全研究员们已经审计了几十年的代码库。

结果呢?AI找到了人类从未发现的东西。在一个案例中,研究人员用Mythos发现了OpenBSD中一个隐藏了27年的漏洞。不是27天,是27年——几乎和整个互联网商业化的历史一样长。更可怕的是,Mythos能像人类顶级黑客一样,把多个看似无害的小漏洞串联起来,组合成一个完整的攻击链。这是过去只有国家级APT团队才具备的能力。

Anthropic在更新博文中写了一句意味深长的话:「过去软件安全的进步,受限于我们发现漏洞的速度。现在,瓶颈变成了我们验证、披露和修复漏洞的速度。」换句话说,AI已经不是「帮我们找漏洞」的工具了——它找漏洞的速度已经超过了人类消化这些发现的能力。

为什么这次更新重要

Glasswing的首次更新之所以引发HN超过500分、近300条评论的热议,不仅仅是因为数字大。它标志着三个关键转折:

第一,AI从「辅助工具」变成了「主力输出」。Mythos Preview的发现不是对已知漏洞数据库的搜索匹配。它是真正理解代码语义后,发现了全新的、零日级别的漏洞。这彻底打破了「AI只能做已知模式的识别」这一固有认知。

第二,攻防对称性被打破。Anthropic向美国政府高级官员发出了私下警告:这类模型的能力将在今年内扩散到不怀好意的行为者手中。CNBC和Fortune的报道证实,Anthropic官员明确表示「大规模网络攻击在今年发生的可能性显著增加」。当AI能以工业化的速度发现零日漏洞时,攻击者的武器库将获得前所未有的扩容。

第三,合作伙伴阵容揭示了联盟化的趋势。AWS、Apple、Microsoft、Google这四家云和操作系统巨头同时出现在Glasswing的合作伙伴名单中,意味着「AI+安全」正在形成跨公司的统一战线。Anthropic还投入了1亿美元的使用积分和400万美元的直接捐赠给开源安全组织——这不仅仅是技术投入,更是在构建生态壁垒。

AI安全行业瓶颈转移:从发现驱动到修复驱动

▲ 安全行业的瓶颈已从「发现漏洞」转移到了「验证和修复漏洞」

从「找漏洞」到「修漏洞」的范式转移

Anthropic更新中最值得关注的一句话是:「现在瓶颈变成了验证、披露和修复漏洞的速度。」这是整个安全行业即将面对的结构性挑战。

传统安全流程是这样的:研究人员发现漏洞→私下报告给厂商→厂商验证→开发补丁→发布CVE→用户更新。整个过程通常需要数周到数月。但当AI能在几天内产出成百上千个零日漏洞时,这个流程就崩了。

这意味着安全行业需要从发现驱动转变为修复驱动。过去20年,安全公司的价值主要建立在「比别人更早发现漏洞」上。漏洞赏金平台、渗透测试服务、漏洞扫描器——它们的核心卖点都是「找得快」。但现在AI找得远比人类快,这些商业模式的基础正在动摇。

对AI创业者来说,这里面藏着机会:AI驱动的自动修复、批量补丁生成、漏洞优先级的智能排序——这些才是下一波安全创业的真正金矿。已经有创业公司在做「AI自动生成安全补丁并提交PR」,这可能是比漏洞发现更大的市场。

Glasswing合作生态:50+组织联盟,1亿美元投入

▲ Glasswing联盟已汇聚50+全球顶级科技公司,投入1亿美元使用积分

我们能学到什么

1. AI赋能的安全创业正在进入黄金期

Glasswing证明了一件事:在代码理解和安全分析这个领域,AI已经超越了绝大多数人类专家。但Mythos目前只开放给大型机构的联盟成员。对于中小企业和个人开发者来说,这个能力还不可及。这意味着AI安全工具的民主化是一个巨大的市场机会。

想象一下:一个基于开源模型的、价格亲民的AI安全审计工具,能帮独立开发者的项目做深度代码审查。或者一个面向中小企业的AI渗透测试服务,按次收费。这些都是可行的创业方向。

2. 「修漏洞」比「找漏洞」更有价值

当找漏洞的能力被AI碾压式提升后,行业真正的稀缺资源变成了修复能力。谁能更快地把AI发现的漏洞转化为安全补丁,谁就掌握了下一个时代的主动权。对于AI创业者来说,不要去做第101个AI漏洞扫描器,而是思考:如何用AI加速漏洞修复的全流程?

3. AI安全人才的需求将爆炸式增长

Belitsoft最新发布的2026年AI Agent趋势报告显示,企业平均运行12个AI Agent,但50%的Agent在独立工作,互不通信。Futurum Group调查显示58.7%的企业计划在网络安全中部署AI Agent。这意味着一类新的人才正在变得极度稀缺:能驾驭AI安全工具、理解AI安全能力边界的人。

行动建议

  1. 关注AI自动修复赛道的创业公司。SafeBase、Snyk Code、Semgrep等已经在探索AI辅助的代码修复,这个方向值得深度研究。
  2. 如果你是开发者,现在就应该开始用AI工具(如Claude Code、Cursor)来审查你自己的代码。养成「写完代码让AI审计」的习惯,这是在AI安全时代最基本的生存技能。
  3. 如果你是AI创业者,思考你的产品或服务如何与AI安全能力结合。不一定是直接做安全工具——可以是「安全审计即服务」、可以是「AI驱动的合规检查」、可以是「面向非安全人员的漏洞优先级排序工具」。
  4. 保持警惕但不恐慌。Glasswing的数据确实惊人,但Mythos目前是严格受限的。这个窗口期可能只有6-12个月,在此之前建立自己的AI安全能力,是每个技术团队都应该做的事。

本文由AI辅助创作,经人工审核编辑发布