AI News HubLIVE
站内改写3 分钟阅读

扩展Project Glasswing

Anthropic宣布扩展Project Glasswing,新增约150家来自15个以上国家的组织,覆盖电力、水务、医疗、通信和硬件等关键基础设施领域。该项目利用Claude Mythos Preview模型扫描代码漏洞,已发现超过一万个高风险漏洞,旨在帮助网络防御者适应AI时代的安全挑战。

来源Anthropic News

Project Glasswing是Anthropic为保护全球最重要软件而发起的合作项目。今年4月初,我们宣布约有50个初始合作伙伴获得了Claude Mythos Preview的访问权限,此后他们一直在部署该模型以扫描其代码库中的漏洞。我们最近透露,这些合作伙伴迄今已发现超过一万个高风险或严重级别的安全漏洞。

现在,我们正在扩展Project Glasswing。经过与Project Glasswing合作伙伴、安全行业、开源软件维护者以及美国政府数周的密切合作,我们将合作伙伴关系扩展至约150个新组织。每个组织需要满足我们的安全要求后方可获得访问权限。

这批新组织来自15个以上的国家,其中大多数为更多国家提供关键基础设施(未来我们计划进一步扩大地理覆盖范围)。该群体涵盖了我们初始群体中代表性不足的多个行业,如电力、水务、医疗、通信和硬件。许多新合作伙伴是供应商——即维护代码库的公司或非营利组织,这些代码库被全球许多其他组织(包括政府)所依赖。

所有合作伙伴的共同点是:其代码库若遭受成功攻击,后果将是灾难性的。对于大多数合作伙伴,我们估计一次重大攻击可能影响超过1亿人,并对全球和国家安全产生重要影响。

此次扩展是我们实现长期目标的一步:让AI使所有软件更安全,并帮助行业适应AI可能改变网络安全核心假设的方式。

Project Glasswing的作用

Project Glasswing和Claude Mythos Preview的能力引发了软件行业内部以及与政府之间的广泛讨论,探讨AI如何改变网络安全。这些讨论为我们的扩展计划提供了依据,也塑造了我们对Project Glasswing根本目的的认识。

廉价、快速的AI模型具备强大的网络能力即将到来。我们希望Project Glasswing推动机构建立起反映这一现实的运作规范。

Mythos Preview延续了我们一段时间以来一直警告的长期趋势:在未来6到12个月内,我们预计许多其他AI公司将拥有Mythos级别的模型,并且它们可能在没有防止滥用的安全保障措施的情况下发布这些模型。在那个世界中,网络攻击可能更频繁地发生,且形式更加不可预测。网络防御者必须适应以保持步调。

我们视自己的角色为双重的:首先,通过安全地提供对更好模型、工具和通用基础设施的广泛访问,帮助软件行业适应;其次,逐步将我们提供的支持从发现漏洞转向披露、修复和部署补丁软件。下面我们逐一讨论。

支持网络防御者

迄今为止,公司、非营利组织、维护者和研究人员行动迅速。在Project Glasswing启动的头几周内,每个成员都开始大规模使用Mythos Preview,与其他合作伙伴共享信息和最佳实践,并与第三方合作对模型的发现进行分类。这些组织适应新工具的方法可以并且应该被广泛复制到数百万易受网络攻击的组织和开发者中。

为支持这一点,我们将应要求向可信的安全团队发布我们为帮助Project Glasswing合作伙伴更快发现漏洞而开发的工具。我们还创建了Claude Security,这是一个使用我们前沿公共模型(如Claude Opus 4.8)扫描代码库并建议补丁的产品。

我们计划走得更远:我们的长期目标是支持行业创建针对强大网络模型时代的新倡议、标准和基础设施。

加速补丁及其他安全措施

正如我们之前所讨论的,网络安全的瓶颈现在在于验证、披露和修补Mythos级别模型能够发现的大量漏洞。

Mythos Preview本身可以提供帮助。Project Glasswing的许多合作伙伴现在使用该模型编写补丁,以及进行预发布检查,防止漏洞首先出现。Mythos Preview等模型还可用于渗透测试(模拟网络攻击以识别漏洞如何被利用)、自动化威胁检测和响应、以及用内存安全语言重建遗留代码库等众多防御任务。

我们正在与第三方讨论如何大幅扩展开源软件漏洞的审查和修补规模。我们还致力于共享向开源维护者披露漏洞的想法和最佳实践,旨在使这些报告更易于分类和处理。

前进之路

为应对即将到来的挑战规模,数十万组织、研究人员和维护者可能需要访问最先进的网络能力和工具。

我们正在尽快工作,以安全地在通用访问中发布Mythos级别能力。为此,我们需要高度稳健的安全保障措施,防止模型的网络能力被滥用——这些保障措施我们(并且据我们所知,所有其他AI开发者)尚未开发。由于网络安全既有有益用途也有破坏性用途,制定既强大又精确的安全保障措施是一项重大挑战。

与此同时,我们计划进一步扩展Project Glasswing——优先考虑额外的重要基础设施提供商、关键开源软件的维护者以及安全测试人员。我们打算未来的扩展覆盖美国和海外组织,就像这次一样。我们还打算扩大我们的网络验证计划,该计划将为更多组织授予Mythos级别能力,用于特定的网络防御任务。

未来,前沿模型发布将变得越来越高风险。能力将在所有领域继续改进,包括许多像网络安全这样既能赋能攻击者也能赋能防御者的领域。这不会是我们最后一次需要面对这样的挑战。但Project Glasswing教会了我们很多关于如何应对模型跨越重要能力门槛的方法。如果我们成功,我们希望为防御者创造永久优势。