50 到 150。
四月初 Anthropic 第一次把 Project Glasswing 放出来的时候,名单上只有 50 家。两个月后的今天(6 月 2 日),这个数字翻到了 150 家,横跨 15 个国家。
Project Glasswing 是个什么东西,先说清楚——它不是一个产品,是 Anthropic 拉着一帮关键基础设施单位搞的联合行动:用自家最强的那个模型 Claude Mythos,去帮这些单位的代码库找漏洞。找的还不是普通 bug,是零日漏洞(zero-day,还没被公开、没补丁的那种)。测试阶段几周时间,Claude Mythos 挖出来的零日漏洞数以千计。
名单里都是谁
这次新进来的 150 家,分布在澳大利亚、比利时、加拿大、法国、德国、印度、意大利、日本、荷兰、新西兰、韩国、西班牙、瑞典、瑞士、美国。
点得出名字的有这么几家:
- Okta(美国,身份认证,全世界一大半企业的登录靠它)
- 三星、SK Hynix、SK Telecom(韩国,芯片加电信,一国占了三家)
- NATO(北约)
- ENISA(欧盟网络安全局)
- 美国政府
涵盖的行业 Anthropic 自己列了五个:电力、水务、医疗、通信、硬件。全是那种一旦被打穿、整个社会都得跟着停摆的东西。
Anthropic 给这事下了一句定调的话:
“What each partner has in common is that a successful attack on their codebase could be catastrophic. For most partners, we estimate that a major attack could affect more than 100 million people.”
讲人话就是——这些伙伴的共同点是,代码库一旦被成功攻击,后果是灾难性的;对大多数伙伴来说,一次大规模攻击能波及一亿人以上。
一亿人。这不是 Anthropic 在吓唬人。你想想 Okta 管着多少公司的登录、三星和 SK 的芯片塞在多少设备里,就明白这个数量级是怎么算出来的。
顺手还上了个新产品
光开放 Mythos 的访问权限不算完。这次 Anthropic 还塞进来一个新东西:Claude Security。
简单说,Mythos 负责”找”——扫代码库、揪零日漏洞;Claude Security 负责”补”——扫完给你出修补建议。一个找洞一个填洞,配成一套。
这步棋的意思就很清楚了。Anthropic 不满足于”我有个很猛的能挖漏洞的模型”这种炫技,它想把这套能力做成关键基础设施单位能直接用上的流程。找漏洞这件事,过去靠安全研究员一行行人肉看,现在变成 AI 先扫一遍、再给补丁建议,人来拍板。
这事为什么值得盯
往回看一眼,就知道这盘棋下了多久。
挖漏洞的 AI 是把双刃剑——同一个模型,防守方拿来补漏洞,攻击方拿来钻同一个漏洞。Anthropic 之前对 Mythos 一直捂得很紧,只给极少数单位用,怕的就是这个。现在敢从 50 家扩到 150 家,说明它对”放给谁、怎么放”这套筛选机制有底了——进名单的全是被攻击会出大事的关键单位,等于优先武装防守方。
对面 OpenAI 也没闲着,发了 GPT-5.5-Cyber 做网络安全。两家在这条线上的打法明显不一样:Anthropic 挑 150 家关键单位精准投放,OpenAI 那边给认证团队开放。一个走”少而关键”,一个走”广而可控”。
背景再补一个数字:Anthropic 刚融完 650 亿美元,估值摸到一万亿美元附近。手里有钱、有最强的模型、有一长串关键基础设施客户排队——把找漏洞做成一门正经生意,时机算是齐了。
至于这套能不能真挡住下一次大规模攻击,还得看实战。但有一点是确定的:找漏洞这活儿的玩法,正在从”人肉审计”换成”AI 先扫一遍”。
参考来源:Anthropic scales Claude Mythos to critical infrastructure in 15 countries(TechCrunch);Anthropic expands access to Claude Mythos-level AI models(Yahoo Finance)