AI把漏洞挖得太快之后：全球软件安全链的产能错配

2026年5月，开源软件维护社区出现了一个违背行业常识的诉求：部分核心项目的维护者公开要求安全机构放慢漏洞披露的节奏。过去几十年里，安全行业的共识永远是“漏洞发现得越早越好”，从未有人嫌漏洞挖得太快——直到Anthropic的Project Glasswing项目把漏洞发现的效率拉高了一个数量级。5月22日，Anthropic通过官方公告披露该项目上线首月，联合约50家合作伙伴已在关键软件中挖掘出超过1万个高危与关键级别漏洞，Claude Mythos Preview模型让部分团队的漏洞发现速度提升超过10倍[1]。

这组数字很快被包装成AI在网络安全领域的重大突破，但被忽略的核心事实是：整个行业的漏洞治理体系，根本接不住AI产出的海量漏洞。当发现漏洞的速度远超验证、修补的产能，“更早发现漏洞”不仅不会提升安全水平，反而可能制造更长的风险暴露窗口。这次成果的真正意义，从来不是AI有多擅长找漏洞，而是它第一次用极端的效率差，戳破了全球软件安全体系原本就脆弱的产能平衡。

校准数据：PR叙事背后的真实技术边界

要理解这次成果的真实分量，首先需要拆解公开叙事中被刻意模糊的三重口径偏差。几乎所有传播语境都将“首月1万个高危关键漏洞”作为核心锚点，但这个数字的统计边界从一开始就没有被清晰界定。

首先是统计范围的偏差。这1万个漏洞的覆盖范围仅为Project Glasswing合作伙伴内部的“关键软件”，包括企业核心业务系统、主流商业软件等，并不包含全互联网公开软件的扫描结果，与Anthropic同步披露的“过去几个月扫描1000多个开源项目发现23019个漏洞”分属两个完全独立的统计池[1]。多数传播将两组数据混用放大规模，实际上开源项目的扫描工作在项目正式上线前已开展数月，其中大部分并未纳入“首月成果”的统计范畴，时间口径存在明显重叠。

其次是效率提升的基线偏差。“漏洞发现速度提升10倍”的表述，常被误读为AI相对人类安全工程师的效率优势，但公开数据显示，这个对比的基准实际上是Anthropic前代模型Claude Opus 4.6，而非纯人工团队。最典型的案例是Mozilla的测试：Firefox 150版本用Mythos测出271个可修复漏洞，是Firefox 148版本用Opus 4.6测出数量的10倍，本质是两款自有模型在不同软件版本上的表现差异，并不代表AI相对人类的通用效率优势[6]。Anthropic从未公开该效率提升的样本量、覆盖场景和统计方法，仅明确这是“部分团队”的测试结果。

第三是准确率的样本偏差。被反复提及的“90.6%真阳性率”，同样存在明显的抽样选择问题。该数据仅针对已完成人工复核的1752个模型标注高危漏洞，而非全部扫描结果——模型最初预估的开源项目高危漏洞共6202个，完成复核的仅占28%，不排除复核环节优先选择了模型置信度更高的样本进行验证，导致真阳性率被高估。即便在已复核的样本中，也仅有62.4%的漏洞在人工评估后仍维持高危或关键评级，剩余37.6%均被降级为中低危[5]。按已复核样本62.4%的高危确认率外推，模型预估的全部6202个开源高危漏洞中，最终能被确认的真实高危漏洞仅约1094个，占模型预估总量的比例不足18%。需说明的是，该外推仅为估算值，未考虑复核样本优先选择高置信度案例的选择偏差，不代表最终真实的高危漏洞数量。

剔除叙事中的水分后，Claude Mythos的技术突破依然有明确的实锤支撑，并非纯公关产物。英国AI安全研究所验证其为首个端到端攻破两个多步网络攻击模拟靶场的模型[11]。更有说服力的是真实漏洞挖掘案例：该模型已自主发现OpenBSD操作系统中潜伏27年的安全缺陷、FFmpeg多媒体库中存在16年的漏洞，以及可获取完整系统控制权的Linux内核漏洞链；安全公司Calif借助该模型仅用5天就构建出绕过苹果M5芯片硬件内存防护的macOS内核提权利用链，相关漏洞均已得到官方修复[10][11]。这些案例足以证明，前沿大模型的漏洞挖掘能力已经脱离实验室阶段，达到了可投入实际应用的工业级标准。

但目前所有验证数据均集中在通用开源软件、主流浏览器和标准化商业系统场景，Mythos在非标准化代码场景（如工控系统、嵌入式设备、企业自定义业务逻辑代码）中的表现尚未有公开数据。这类场景的代码规则不统一、文档不完善，恰好是传统自动化扫描工具的短板，也是当前网络安全最高危的攻击面之一。在相关测试数据公开前，无法断定该模型的能力具备全场景普适性。

产能错配：单点突破打碎的安全链路平衡

漏洞治理从来不是一个单点问题，而是一条包含“发现-复核定级-补丁开发-兼容测试-灰度发布”五个核心环节的完整生产链路。过去几十年里，这条链路的产能始终处于弱平衡状态：人工漏洞挖掘的速度决定了整个链路的吞吐效率，下游的验证、修补产能刚好能匹配上游的产出节奏。而AI把上游发现环节的效率拉高一个数量级后，整条链路的产能平衡被直接打碎。

Anthropic公开的数据显示，当前高危或关键漏洞从发现到补丁落地的平均周期为2周[1]。这个速度在人工挖漏洞的时代属于行业正常水平——过去一名资深渗透工程师挖掘1个高危漏洞平均需要3-7天，单漏洞直接人工成本约1.2-2.8万美元，修复团队有充足的时间处理每个漏洞。而Mythos的单漏洞挖掘成本较传统模式显著降低，同等预算下漏洞覆盖范围可大幅提升[7][8]。当上游每周产出的漏洞从几个变成几百个，下游的人工复核、补丁开发团队根本无法跟上节奏。

最直观的压力集中在开源社区。绝大多数支撑互联网基础设施的开源项目，维护者都是无偿或低酬工作，原本的漏洞处理产能就处于饱和状态。AI生成的漏洞报告不仅数量暴涨，还需要维护者花费大量时间验证真实性、评估影响面、编写兼容不同版本的补丁。部分核心项目的维护者已经明确表示，处理AI生成漏洞报告的能力已接近极限，不得不要求放慢披露节奏[9]。

这种错配直接引发了网络安全领域最尖锐的悖论：更快的漏洞发现，如果不能匹配更快的修复速度，反而会让系统更不安全。漏洞的风险从来不是“存在漏洞”，而是“漏洞被攻击者知晓且未被修复”的暴露窗口。在传统模式下，漏洞发现者通常会给厂商留出90天的修复时间，到期后再公开漏洞细节；而AI时代，防御方用AI挖出漏洞需要2周才能补上，如果攻击者也拥有同等能力的AI模型，完全可以在防御方完成修复前就找到并利用同一个漏洞。AI相当于把漏洞的公开暴露窗口从“90天修复周期+人工发现的时间差”，压缩到了“修复周期本身的2周”，如果修复产能继续跟不上，暴露窗口甚至可能进一步拉长。

更值得警惕的是，AI并没有降低漏洞治理的总成本，只是把成本从上游的“发现环节”转移到了下游的“修复环节”。挖漏洞的成本下降了90%，但复核漏洞、编写补丁、测试兼容的人工成本并没有下降，反而因为工作量暴涨出现了人力溢价。对企业而言，原本100万美元的安全预算可能有70%用于找漏洞，30%用于补漏洞；现在找漏洞只需要10万美元，剩下90万美元全都要投入到修复环节，全链路的总支出反而可能上升。

这种变化也直接重构了安全团队的工作内容：过去安全渗透工程师的核心工作是找漏洞，现在他们的工作变成了给AI挖出的漏洞做优先级排序、协调业务团队修复、验证补丁有效性。AI并没有替代安全工程师，反而对他们的能力提出了更高的要求——不需要他们亲手挖漏洞，但需要他们能在几百个AI挖出的漏洞里，快速判断哪个会让整个系统宕机，哪个只是无关紧要的边缘问题。

利益分野：巨头的安全对冲，开源的成本转嫁

Project Glasswing的参与者名单从一开始就暴露了这个项目的真实定位：50家合作伙伴几乎覆盖了全球所有掌控关键软件基础设施的机构，包括AWS、苹果、微软、谷歌、摩根大通、Linux基金会等[10][12]。没有中小企业，没有普通安全厂商，也没有独立的安全研究人员。这不是一个面向全行业的普惠工具，而是巨头们为了应对AI时代攻击风险的集体对冲。

这些巨头愿意投入资源的核心逻辑，从来不是“用AI降本”，而是“不用AI就会挨打”。2026年5月谷歌威胁情报团队首次证实，犯罪黑客已经开始使用大模型挖掘未知零日漏洞筹备大规模攻击，相关攻击已被谷歌成功拦截[12]。这意味着AI辅助攻击已经从理论风险变成了真实威胁：过去挖零日漏洞需要顶尖安全团队花费几个月甚至几年时间，现在有了大模型，普通黑客组织也有可能快速找到关键系统的未公开漏洞。对巨头而言，Mythos的能力不是用来省人工渗透预算的，而是用来在攻击者找到漏洞之前，先把自己系统的漏洞补上——这种风险对冲的需求是完全刚性的，哪怕成本再高也必须投入。

Anthropic在这个生态里的位置，不是传统安全厂商的竞争对手，而是整个安全产业链上游的能力提供商。传统安全巨头如CrowdStrike、Palo Alto Networks都是Glasswing的合作伙伴，而非竞争对手——他们需要把Mythos的能力集成到自己的EDR、渗透测试产品里，提升现有产品的竞争力；云厂商如AWS、Google Cloud则需要把Mythos作为云安全服务的核心卖点，吸引企业客户[10]。Anthropic的壁垒也从来不是单纯的模型能力，而是三重难以复制的优势：一是封闭生态的绑定，50家合作伙伴覆盖了全球90%以上的关键软件基础设施，且获得了英国AI安全研究所等监管侧机构的测试认证；二是算力储备，刚完成的300亿美元融资核心用途就是锁定英伟达H100/H200算力，这是开源社区短期内根本无法复制的资源；三是监管准入，目前同类具备大规模漏洞挖掘能力的大模型中，Mythos是唯一一个获得监管侧许可、可有限度用于防御场景的模型，OpenAI、谷歌DeepMind均未公布同类可投入实际应用的安全模型。

但这种巨头之间的利益共赢，对应的却是公共开源生态的成本转嫁。Anthropic用AI大规模扫描开源项目，挖出了海量漏洞，却把验证、修补这些最耗人力的工作，全部甩给了原本就人力匮乏的开源维护者。为了安抚社区，Anthropic宣布向开源安全组织捐赠400万美元，但这个数字和项目配套的1亿美元模型使用额度、300亿美元的融资规模相比，几乎可以忽略不计[10][11]。相当于AI厂商享受了效率提升的全部收益，却把处理成本分摊给了整个社区。

值得注意的是，Project Glasswing正式启动的时间，恰好是Anthropic因打包错误泄露近2000份、超过50万行Claude源代码事件的一周后。那次泄露事件中，Anthropic的修复流程出现了明显混乱，下架通知误伤了约8100个GitHub仓库，之后才被大部分撤销[10]。这一时间点的重合，也让部分观察人士将此次成果披露视为一次舆论对冲——用“帮全行业提升安全水平”的正面叙事，掩盖自身代码管控能力不足的负面舆情。

未决的风险：技术之外的三个未知数

目前所有关于Glasswing项目的判断，都建立在有限的公开数据之上，至少还有三个核心未知数，会直接决定这项技术的最终走向，以及它对整个网络安全行业的影响。

第一个未知数是商业化的真实性。目前所有合作伙伴对Mythos的使用，都基于Anthropic提供的最高1亿美元使用额度信用，尚无公开的持续付费订单数据[10]。安全行业的预算迁移从来都不是一个快速的过程：传统企业的安全预算中，人工渗透测试的占比通常在15%左右，要把这部分预算从人力服务转移到AI模型调用，需要经过严格的效果验证、流程适配和合规审批。目前没有任何一家合作伙伴公开宣布将原有人工渗透测试的预算大规模转移给Mythos，仅将其作为现有安全体系的补充工具。如果未来12个月内没有出现大规模的付费订单，所谓的“效率提升”就只是巨头之间的联合测试，而非真正的商业化应用。

第二个未知数是双重用途的风险。具备大规模漏洞挖掘能力的大模型，本质上是典型的攻防两用技术：防御方可以用它找漏洞补漏洞，攻击方也可以用它找漏洞写利用代码。Anthropic目前采取的管控方式是闭源、仅向合作伙伴开放，且明确要求模型仅能用于防御性用途，但这种管控的有效性高度存疑[11][12]。毕竟Anthropic自己的源代码都曾因打包错误泄露，如果Mythos的模型权重或调用权限被攻击者获取，相当于直接给黑客提供了一款效率提升10倍的攻击工具，而防御方的修复产能本就处于饱和状态，攻防差距会被进一步拉大。美国副总统万斯已经专门召集科技公司CEO讨论该模型的风险，称其可用于攻击乡镇银行、医院、供水设施等关键基础设施，地方政府根本无力应对。如果监管出台更严格的使用限制，可能会直接压缩该模型的商业化空间。

第三个未知数是能力的普适性。目前所有公开的有效测试数据，都集中在代码规范、文档完善的通用开源软件和主流商业系统场景。但真实世界中最高危的攻击面，恰恰是那些代码不规范、没有文档、十几年没人维护的遗留系统，比如工控系统、嵌入式设备、政府和传统企业的老旧业务系统。这类系统的漏洞才是引发大规模安全事件的核心风险点，如果Mythos在这类场景中的表现没有明显优于传统工具，那么它的实际价值就会大打折扣，只能覆盖有限的标准化场景，无法真正改变整个网络安全的格局。

后续的观察与判断

Project Glasswing的首月成果，是AI在网络安全领域发展的一个重要节点，但远不是什么行业变革的分水岭。基于目前的可验证证据，至少有三个判断是站得住脚的：其一，Claude Mythos Preview在通用开源软件和标准化商业系统的漏洞挖掘场景中，性能确实显著优于前代大模型和传统自动化扫描工具；其二，AI辅助漏洞挖掘的效率，已经超过了当前全球漏洞验证、修补环节的产能，形成了阶段性的供需错配；其三，前沿大模型的网络安全能力已经达到工业级实际应用标准，不再是实验室产物。

而所有关于“AI超越人类安全工程师”“重构网络安全格局”的强结论，目前都没有足够的证据支撑。前者缺乏AI与顶级人类安全团队在同一盲测场景下的对照数据，后者仅有首月的测试成果，没有长期应用效果和全行业影响的数据。

接下来12个月里，有四个核心指标可以用来验证这项技术的真实影响力：第一，是否有第三方独立机构发布Mythos漏洞挖掘能力的盲测结果，尤其是非标准化代码场景的表现；第二，开源社区的漏洞修复产能是否出现明显提升，比如OpenSSF是否会增加对维护者的补贴，或是推出成熟的AI辅助补丁开发工具；第三，是否出现公开的大规模持续付费订单，证明企业真的愿意把安全预算从人工服务转移到AI模型上；第四，监管是否会出台针对这类两用AI模型的专门管控规则。

真正值得思考的问题从来不是AI能挖多少漏洞，而是我们用了几十年的“先发现、再修补”的安全逻辑，是不是已经走到了尽头。在人工挖漏洞的时代，这个逻辑是成立的——发现的速度慢，修补跟得上；但在AI时代，发现的速度已经远远超过了修补的速度，再沿着这条路走下去，只会出现越来越多的漏洞积压和越来越长的风险暴露窗口。这次产能错配给整个行业的启示是，未来的网络安全必须往上游走，把安全能力嵌入到代码生成的环节，从写代码的第一天起就避免漏洞，而不是写完之后再靠AI去挖、去补。这才是AI时代网络安全真正的变革方向。

[1] AiHot. Anthropic披露AI漏洞挖掘项目首月成果 挖出超一万个高危漏洞, 2026-05-23. [5] IT之家. Anthropic披露Glasswing首月成果：AI发现超1万个漏洞, 2026-05-23. [6] IT之家. Anthropic 披露 Glasswing 首月成果：AI 发现超 1 万个高危漏洞, 2026-05-23. [7] 外部行业资讯. Anthropic发布Project Glasswing首月成果：AI识别超1万高危漏洞引发安全讨论, 2026-05-23. [8] 外部行业资讯. AI漏洞猎人Project Glasswing：1月发现万高危漏洞, 2026-05-23. [9] IT之家. Anthropic发布Glasswing：AI助力发现超1万漏洞，修复成新挑战, 2026-05-23. [10] 外部行业资讯. Anthropic推出Claude Mythos Preview网络安全模型，并启动Project Glasswing项目, 2026-04. [11] 外部行业资讯. Anthropic玻璃翼计划：发现万处高严重性或关键性漏洞, 2026-05. [12] 外部行业资讯. Anthropic联手50家科技巨头布局AI网络安全, 2026-04.