Anthropic 推进 Project Glasswing：漏洞挖掘战果仍待揭晓

上周，人工智能公司 Anthropic 再次登上热点，称其最新模型 Mythos 在挖掘安全漏洞上尤为突出，甚至可能带来不小的扰动。为避免潜在风险失控，Anthropic 推出 Project Glasswing，邀请 50 多家行业伙伴参与试用，让他们在黑客利用问题前，早点把自家产品的安全漏洞找出来并修好。

虽然参与 Project Glasswing 的完整名单尚未公开，但已确认亚马逊网络服务、苹果、谷歌、微软等知名公司在列。该计划旨在与受邀企业协作，借助 Mythos 排查并修复产品中的安全缺陷。

VulnCheck 研究员 Patrick Garrity 指出，目前仍缺乏能证实 Project Glasswing 实际漏洞产出的确凿数据。他在 CVE 数据库中检索了含有“Anthropic”的记录，共发现 75 条，其中 35 条与 Anthropic 自家工具或第三方集成相关，无法归入 Glasswing 的发现。

余下的 40 条可能与 Glasswing 有关，但归属仍不确定。按 Garrity 的梳理，这些漏洞来自 Anthropic 核心研究团队、独立研究者 Nicholas Carlini，以及安全研究公司 Calif.io。

从分布看，28 个指向 Mozilla 的 Firefox 浏览器，9 个出现在嵌入式 SSL/TLS 库 wolfSSL；此外，F5 的 NGINX Plus 有 1 个，FreeBSD 与 OpenSSL 各 1 个。

目前，唯一能被清晰指向 Glasswing 的 CVE 为 CVE-2026-4747，它属于远程代码执行问题，攻击者可据此在运行 NFS 的 FreeBSD 机器上拿到 root 权限。Anthropic 也提到过其他若干漏洞，但尚未获得 CVE 编号。

Garrity 认为，要全面了解 Project Glasswing 的进展还需等待更多信息披露。Anthropic 预计在 2026 年 7 月发布阶段性总结，他并建议官方设立独立的安全公告页面，持续、透明地公布研究团队与 Glasswing 发现的漏洞。

划重点：  

🛡️ Anthropic 推出 Project Glasswing，邀请 50+ 家企业用 Mythos 开展漏洞测评。  

🔍 具体挖到多少漏洞尚不清楚，目前仅有 40 条疑似相关记录。  

📅 预计 2026 年 7 月对外发布阶段性总结与统计。