炒作遇冷:VulnCheck分析质疑实际成效
当OpenAI正计划推出专注于网络安全的AI模型展开竞争时,VulnCheck安全专家最新研究对Claude Mythos(即"Project Glasswing")的实际影响提出了质疑。目前该模型仅由美国大型科技公司等精选机构参与测试。
VulnCheck研究员Patrick Garrity在博客中指出:"Anthropic的Project Glasswing引发了广泛关注,但提供的具体数据却非常有限。"虽然Anthropic的研究活动确实有助于发现漏洞且整体前景看好,但该项目目前可验证的实际影响仍较为有限。
Glasswing备受关注,我们通过分析验证其当前成效:https://t.co/UKmHYT3vaJ
75个CVE提及Anthropic
40个归功于其研究人员
1个明确关联Glasswing(截至目前)预计今年将有更多进展,我们将持续追踪。
— VulnCheck (@VulnCheckAI) 2026年4月15日
CVE数据深度剖析
VulnCheck团队对"Project Glasswing"相关的CVE记录进行了全面审查。Garrity表示:"无论是Glasswing报告还是Anthropic发布的安全公告,都未提供完整的漏洞发现清单。因此我决定检索整个CVE数据库,筛选包含'anthropic'关键词的记录并逐一验证。"
研究共识别出75条相关CVE记录,其中仅40条明确归功于Anthropic研究人员。进一步分析显示,只有1个CVE(涉及FreeBSD远程代码执行漏洞)被明确标记为"Project Glasswing"自主发现并利用的成果。另有三个处于保密期的漏洞未被计入分析:
- OpenBSD中存在27年的安全漏洞
- FFmpeg长达16年的缺陷
- Linux内核权限提升攻击链
Garrity指出:"只有待Anthropic全面公开Project Glasswing发现和修复的漏洞详情后,才能客观评估Claude Mythos的实际能力。"他预计相关报告将于2026年7月发布。
专家观点交锋
VulnCheck的发现为评估Claude Mythos能力提供了新视角——可归因CVE数量仅是衡量其影响的指标之一。
安全厂商Tanium高级总监、SANS技术研究所理事Melissa Bischoping持有不同观点:"我们分析了Claude Mythos预览版的系统卡,该模型在漏洞利用方面取得了前所未有的成功率。对同类攻击目标,成功率从近乎零跃升至约72%,表明其已突破开发复杂漏洞利用的技术瓶颈。"
尽管Claude Mythos目前仅在Project Glasswing限定范围内测试,Bischoping认为它已展现未来潜力:"前沿模型与开源模型的差距已从一年多缩短至数周。这种能力水平将快速扩散,而安全防护措施很可能无法同步跟进。"她特别担忧企业在模型公开前能否及时响应其发现的威胁:"虽然自动化补丁工作流可对抗AI威胁,但企业策略和变更控制目前仍无法匹配AI的速度。"
