一个月狂挖 1 万个高危漏洞:AI 把整个网络安全行业逼到了墙角
一个让全行业失眠的数字
10,000+。
这是 Anthropic 与 Amazon、Microsoft、Google 等 50 多家伙伴联合启动的Project Glasswing,在 30 天内,仅靠一个叫 Mythos Preview 的 AI 模型,从全球关键软件里扒出来的高危/严重漏洞数量。
作为参照——
- Cloudflare 上报:2,000 个 bug(其中 400 个高/严重),比人类红队团队多 10 倍,假阳性率反而更低;
- Mozilla:在 Firefox 150 里发现 271 个漏洞,而上一个完全靠人工审计的 Firefox 148,只找到 26 个;
- 开源软件大扫描:6,202 个高/严重漏洞,独立复核样本里真阳性率高达 90.6%。
这不是 PPT 上的"未来展望",而是已经发生一个月了。
网安行业 30 年来最大的"反转"
过去几十年,整个网络安全行业的共识都是:漏洞难找。找漏洞的人少、贵、慢,所以企业才会花大价钱买扫描器、雇红队、办 bug bounty。
但 Glasswing 把这条假设彻底炸了。当 AI 一个月就能在你的代码库里找到上万个高危坑,真正的瓶颈瞬间从"发现"变成了"修补"。
打个比方:以前是消防员要拼命找哪儿着火,现在 AI 拿着热成像仪一秒标出全城几百个火点——可你的消防队还是那几辆车。
Anthropic 在报告里写得很冷静,但意思一点都不温柔:当前所有企业的补丁流程都需要重做。两周打一次高危补丁的"行业最佳实践",在 AI 时代相当于裸奔。
它对你意味着什么?
不管你是不是搞安全的,这三件事都会很快砸到你头上:
- 补丁周期必须缩短。你用的浏览器、你公司的 SaaS、你银行的后台,下个季度开始会推送得比以前频繁得多——不是它变烂了,是新漏洞被挖出来的速度变快了。
- MFA 不再是"加分项",是"保命项"。因为 0day 暴露窗口期会缩短到几天甚至几小时,仅靠密码 + 补丁的防线会被瞬间打穿。
- 开源软件维护者要崩了。6,202 个高危漏洞砸在一群业余时间维护的 maintainer 头上,下一个 log4j 级事件可能就在这一年里。
但也有一个好消息
漏洞是双刃剑。同样的 AI,黑产也能用、国家级 APT 也能用。唯一的差别是谁先用、谁先修。
Project Glasswing 选择的策略是白帽优先:先批量找出漏洞,然后协调披露给厂商和上游维护者,让补丁跑在攻击者前面。这是一场和时间赛跑的全球协同——结果会决定未来 5 年我们究竟生活在一个更脆弱、还是更结实的数字世界里。
如果说 ChatGPT 让"写代码"民主化了,那 Glasswing 正在让"挖漏洞"民主化。
你的代码,做好准备了吗?