上周，人工智能公司 Anthropic 引发广泛关注，宣布其最新模型 Mythos 在发现安全漏洞方面表现出色，甚至可能引发混乱。为了防止这种混乱的发生，Anthropic 启动了名为 Project Glasswing 的计划，允许 50 多家行业合作伙伴测试这一先进的模型，以便在网络攻击者利用这些漏洞之前，及时发现并修复自身产品的安全隐患。

虽然 Project Glasswing 的参与者尚未完全披露，但已经确认包括亚马逊网络服务、苹果、谷歌、微软等知名公司。这一计划的目的在于通过与选定的企业合作，利用 Mythos 寻找和解决产品中的漏洞。

据 VulnCheck 的研究员 Patrick Garrity 的分析，目前对 Project Glasswing 的漏洞发现情况尚无确凿的数据。他通过 CVE 数据库对包含 “Anthropic” 关键词的记录进行了搜索。尽管发现了 75 个与 Anthropic 相关的记录，但其中 35 个是针对 Anthropic 自家工具或第三方集成的漏洞，无法归类为 Glasswing 发现的漏洞。

剩余的 40 个漏洞记录可能与 Glasswing 相关，但仍不能确定其归属。根据 Garrity 的分析，这 40 个漏洞的来源涉及 Anthropic 的核心研究团队、个别研究人员 Nicholas Carlini，以及独立安全研究公司 Calif.io。

从漏洞的分布情况来看，28 个漏洞与 Mozilla 的 Firefox 浏览器有关，9 个则存在于 wolfSSL 嵌入式 SSL/TLS 库中，还有 1 个漏洞涉及 F5 的 NGINX Plus 应用交付平台，以及 FreeBSD 和 OpenSSL 各有 1 个。

目前，唯一一个可以明确与 Glasswing 直接关联的 CVE 是 CVE-2026-4747，这是一种远程代码执行漏洞，允许攻击者获得 FreeBSD 上运行 NFS 的机器的 root 权限。尽管 Anthropic 曾提到其他一些漏洞，但这些漏洞尚未被分配 CVE。

Garrity 表示，关于 Project Glasswing 的完整情况，公众仍需等待相关信息的披露。Anthropic 预计将在 2026 年 7 月发布总结报告，建议其建立专门的安全公告页面，以便向公众透明地披露研究团队和 Project Glasswing 发现的漏洞。

划重点：  

️ Anthropic 启动 Project Glasswing，允许 50 多家公司使用其模型 Mythos 进行漏洞测试。  

目前未确定 Project Glasswing 发现的漏洞数量，只有 40 个可能与该计划相关。  

预计到 2026 年 7 月，Anthropic 将发布关于漏洞发现的公开总结报告。