安全神话还是营销泡沫？重新审视 Claude Mythos

炒作遇冷：VulnCheck分析质疑Project Glasswing实际成效

当OpenAI正计划推出专注于网络安全的AI模型展开竞争时，VulnCheck安全专家最新研究对Claude Mythos（即"Project Glasswing"）的实际影响提出了质疑。目前该模型仅由美国大型科技公司等精选机构参与测试。

VulnCheck研究员Patrick Garrity在博客中指出："Anthropic的Project Glasswing引发了广泛关注，但提供的具体数据却非常有限。"虽然Anthropic的研究活动确实有助于发现漏洞且整体前景看好，但该项目目前可验证的实际影响仍较为有限。

Glasswing备受关注，我们通过分析验证其当前成效：https://t.co/UKmHYT3vaJ

75个CVE提及Anthropic 40个归功于其研究人员 1个明确关联Glasswing（截至目前）

预计今年将有更多进展，我们将持续追踪。 — VulnCheck (@VulnCheckAI) 2026年4月15日

CVE数据深度剖析

VulnCheck团队对"Project Glasswing"相关的CVE记录进行了全面审查。Garrity表示："无论是Glasswing报告还是Anthropic发布的安全公告，都未提供完整的漏洞发现清单。因此我决定检索整个CVE数据库，筛选包含'anthropic'关键词的记录并逐一验证。"

研究共识别出75条相关CVE记录，其中仅40条明确归功于Anthropic研究人员。进一步分析显示，只有1个CVE（涉及FreeBSD远程代码执行漏洞）被明确标记为"Project Glasswing"自主发现并利用的成果。另有三个处于保密期的漏洞未被计入分析：

• OpenBSD中存在27年的安全漏洞

• FFmpeg长达16年的缺陷

• Linux内核权限提升攻击链

Garrity指出："只有待Anthropic全面公开Project Glasswing发现和修复的漏洞详情后，才能客观评估Claude Mythos的实际能力。"他预计相关报告将于2026年7月发布。

专家观点交锋

VulnCheck的发现为评估Claude Mythos能力提供了新视角——可归因CVE数量仅是衡量其影响的指标之一。

安全厂商Tanium高级总监、SANS技术研究所理事Melissa Bischoping持有不同观点："我们分析了Claude Mythos预览版的系统卡，该模型在漏洞利用方面取得了前所未有的成功率。对同类攻击目标，成功率从近乎零跃升至约72%，表明其已突破开发复杂漏洞利用的技术瓶颈。"

尽管Claude Mythos目前仅在Project Glasswing限定范围内测试，Bischoping认为它已展现未来潜力："前沿模型与开源模型的差距已从一年多缩短至数周。这种能力水平将快速扩散，而安全防护措施很可能无法同步跟进。"她特别担忧企业在模型公开前能否及时响应其发现的威胁："虽然自动化补丁工作流可对抗AI威胁，但企业策略和变更控制目前仍无法匹配AI的速度。"