Anthropic今天宣布了一个计划:Project Glasswing(玻璃翼计划),之所以推出这个计划是因为Anthropic训练出了一个全新的超强模型Claude Mythos Preview,这其实就是前两天cc源码泄露中提到的模型。
项目参与方包括亚马逊AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达、Palo Alto Networks,以及Anthropic自己,共12家机构联合发起。
说人话就是由于这个模型太强了要采取安全测试模式,只给认可的机构内部使用,不对外开放,有多强呢,大家直接看数据,代码和推理能力吊打opus 4.6:
代码:
推理:
搜索与计算机使用
opus字面意思是杰作,Mythos字面意思是神话,Anthropic CEO以及合作方一众大佬都出来为这个计划站台了。
Anthropic明确表示,不打算将Claude Mythos Preview向公众开放。但长期目标是让用户能够安全使用同等能力级别的模型。为此,他们计划先在即将推出的Claude Opus模型上开发和验证相关安全防护机制,在风险可控的条件下完成迭代,再逐步推进,可能很快会推出一个opus 新版本提供相应的能力。
我们来详细看看Project Glasswing究竟是什么东西
这个模型发现了什么?
过去几周,Anthropic用Claude Mythos Preview扫描了世界上主流的操作系统、浏览器和其他重要软件。
结果:发现了数千个此前从未被发现的零日漏洞,其中大量被评定为高危级别。
几个具体案例:
OpenBSD中一个存在了27年的漏洞。OpenBSD以安全性著称,被用于运行防火墙等关键基础设施。这个漏洞允许攻击者仅通过连接目标机器,就能让其远程崩溃。
FFmpeg中一个存在了16年的漏洞。FFmpeg被无数软件用于视频编解码。模型找到漏洞的那行代码,此前已被自动化测试工具扫描了500万次,从未被发现。
Linux内核中,模型自主发现并串联了多个漏洞,使攻击者能从普通用户权限提升至完全控制整台机器。
以上漏洞均已向相关软件维护方报告,目前已全部修复。其余漏洞,Anthropic已先行发布加密哈希值,待修复完成后再公开具体细节。
为什么要做这件事?
Anthropic给出的判断是:AI模型在发现和利用软件漏洞方面的能力,已经超过了除少数顶级人类专家之外的所有人。
全球网络犯罪造成的经济损失每年估计约为5000亿美元。针对医疗系统、能源基础设施、政府机构的攻击已经造成实质伤害,也已对民用和军事基础设施构成持续威胁。
Anthropic的逻辑是:与其等别人先把这种能力用于进攻,不如主动把它用于防御。
计划具体怎么做?
Project Glasswing目前包含两个层面。
第一层面是12家创始合作伙伴,他们将获得Claude Mythos Preview的访问权限,用于扫描和修复自身核心系统的漏洞,重点方向包括本地漏洞检测、二进制黑盒测试、端点安全、渗透测试等。
第二层面是另外40余家构建或维护关键软件基础设施的组织,同样将获得模型访问权限,用于扫描自有及开源系统。
Anthropic为此承诺提供最高1亿美元的模型使用额度。研究预览期结束后,Claude Mythos Preview将向参与方提供商业访问,定价为每百万输入/输出token 25/125美元,支持通过Claude API、Amazon Bedrock、Google Cloud Vertex AI和Microsoft Foundry接入。
此外,Anthropic通过Linux基金会向Alpha-Omega和OpenSSF捐赠250万美元,向Apache软件基金会捐赠150万美元,合计捐赠400万美元,用于支持开源软件维护方应对这一新形势。开源软件维护方可通过Claude for Open Source项目申请访问权限。
接下来的计划
在信息共享方面,合作伙伴将尽可能互通信息和最佳实践。Anthropic承诺在90天内公开发布研究进展报告,内容包括发现的漏洞数量、已修复的问题,以及可披露的改进成果。
在政策建议方面,Anthropic将与主要安全机构合作,就以下方向形成实践建议:漏洞披露流程、软件更新流程、开源与供应链安全、安全软件开发生命周期、受监管行业标准、漏洞分类的规模化与自动化、补丁自动化。
