10,000 對 75。
這是 Anthropic 上週五(5 月 22 日)發布的 Project Glasswing 首月報告中最引人注目的兩個數字。Claude Mythos Preview 在這一個月內與 50 家合作夥伴共同挖出超過 10,000 個高風險與嚴重等級的軟體漏洞,但真正完成修補的只有 75 個。
關鍵不在於「挖出多少」,而在於「補不上來」。
數字攤開來看
Anthropic 自行使用 Mythos 掃描超過 1,000 個開源專案,找出 23,019 個漏洞,其中 6,202 個屬於高風險或嚴重等級。Cloudflare 也自行掃描,發現超過 2,000 個漏洞,其中 400 個為高風險。Mozilla 在 Firefox 150 單一版本中修復了 271 個漏洞,是 Firefox 148 時代的 10 倍以上。
合作夥伴共 50 家。第一批 12 家「核心圈」都是熟悉的名字:AWS、蘋果、Broadcom、Cisco、CrowdStrike、Google、JPMorgan、Linux Foundation、微軟、Nvidia、Palo Alto Networks。另有 40 多家第二層參與者,平時也都支撐著關鍵基礎設施。
將這些數字加總,就是過去一個月被現代 AI 系統性掃描的真實暴露面。
- 1,000 以上:Anthropic 掃描的開源專案數
- 23,019:開源程式碼中發現的全部漏洞
- 6,202:其中高風險/嚴重等級
- 2,000:Cloudflare 自查發現
- 271:Firefox 150 一次性修補數
- 530:Anthropic 正式通報給維護方的數量
- 75:真正完成修補的
修補端跟不上
Anthropic 自己也承認這點。部落格中寫道:
「軟體安全的進展過去受限於我們能多快找到新漏洞,現在則受限於我們能多快驗證、揭露與修補。」
白話來說,以前是找不到,現在是修不動。
Anthropic 將 530 個高風險與嚴重漏洞正式通報給維護方。截至首月報告發出,完成修補的只有 75 個,公開發布安全公告的只有 65 個。530 → 75 → 65,這個漏斗一級比一級窄。
更尷尬的是,部分維護者已主動要求 Anthropic 放慢通報速度——「先別一次丟太多過來」。中小型開源專案根本沒有人力逐一驗證、修復、測試與回歸。
反過來想,這是一場賽跑
微軟副總裁 Igor Tsyganskiy 在合作夥伴發言中說了一句更狠的話:
「過去需要幾個月的事,現在幾分鐘內就發生。」
意思是從「發現漏洞」到「被利用」的時間窗口已從幾個月壓縮到幾分鐘。
這就是為什麼 75 這個數字讓人背脊發涼。如果 Mythos 這種級別的能力很快也會被攻擊方取得(基本上是遲早的事),時間表就變成:
- 找漏洞:分鐘級,AI 自動掃描
- 寫攻擊程式碼:分鐘級,AI 自動生成 PoC
- 通報維護者:天級
- 修補漏洞:週級、月級,甚至更久
Palo Alto Networks 的 CTO Lee Klarich 說得很直白:
「Mythos Preview 是遊戲規則改變者。」
但他下半句更值得品味——「攻擊方很快也會比以往任何時候都更快地找到漏洞。」
資金投在哪裡
Anthropic 為 Project Glasswing 投入了以下資金:
- 1 億美元:提供給合作夥伴的模型使用額度
- 250 萬美元:給 Alpha-Omega 和 OpenSSF(透過 Linux Foundation)
- 150 萬美元:給 Apache 軟體基金會
意思很清楚:模型使用免費,但開源維護者的資金需要籌措。1 億美元聽起來不少,但分給 50 家合作夥伴,每家平均 200 萬美元——掃描後產生的漏洞處理工作量,開源那一端根本扛不住。
Linux Foundation 的 Jim Zemlin 表示,Project Glasswing 為開源維護者提供了「一條可信的道路」——路給了,但腿還得自己跑。
這意味著什麼
短期來看,今年下半年到明年,大公司發布的修補數量會持續增加。微軟已經說過,「修補包後續會持續變大」。Oracle 也在加速發布修補,速度比以前快了好幾倍。Firefox 150 修了 271 個,Firefox 151 很可能比這個數字還多。
中期來看,開源生態的「維護者過勞」問題會被這件事推到檯面上。一個志願者維護的 npm 套件,本來一年發布一個修補,現在收到 30 個 Mythos 報告——他不可能全部修復。哪些先修、哪些後修、哪些乾脆不修,會變成新的政治問題。
長期來看,Project Glasswing 揭示了一件更深層的事:AI 把「發現」這一端的成本砍到了底,但「修復」那一端是工程組織成本,不會因為模型變強而自動下降。下一個十年的網路安全,比的不是誰的 AI 更能挖洞,而是誰的工程團隊更能把挖出來的洞從「待辦」轉成「已修」。
10,000 對 75。這個比例就是下一階段的考題。
參考來源:Project Glasswing: An Initial Update(Anthropic Research);Anthropic finds over 10,000 software flaws in first month of Project Glasswing(Interesting Engineering);Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious(Security Affairs);CocoLoop