最危险AI只找到1个漏洞？神话破灭现场

Anthropic宣称Claude Mythos能"攻破所有主流系统和浏览器"，但安全研究员翻遍漏洞数据库后只找到1个能确认关联的CVE。这个号称会"搞垮互联网"的模型，实际战绩可能不到40个——甚至可能为零。

神话制造现场：4月7日的宣言

4月7日，Anthropic发布Claude Mythos Preview时扔下一颗重磅炸弹。

官方声明称，该模型已发现并能开发针对零日漏洞（zero-day，即未公开、无补丁的安全漏洞）的利用代码，覆盖"所有主流操作系统和主流浏览器"。

Anthropic的警告措辞极为严厉：如果将这种"零日机器"向公众开放，将"造成大规模混乱并摧毁我们所知的互联网"。

解决方案是Project Glasswing——一个仅限约50家企业和机构参与的封闭测试计划。参与者名单堪称科技巨头全明星：AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达、Palo Alto Networks、英特尔，以及Anthropic自己。

逻辑很清晰：让大玩家们先用AI找出自家产品的漏洞，赶在坏人之前修复。

但三周过去，一个尴尬的问题浮出水面——到底找到了多少？

数据库掘地三尺：75条记录里的真相

VulnCheck研究员Patrick Garrity决定亲自查证。他检索了包含超过32.7万条记录的CVE数据库（通用漏洞披露数据库，安全行业的漏洞标准命名系统），搜索条件是"2月以来所有包含Anthropic字样的记录"。

结果：75条命中。

但细分后情况骤变。35条是Anthropic自身工具的漏洞——Claude Code、MCP Inspector及其第三方集成的问题。这些是Anthropic被攻击，而非Glasswing的攻击成果。

剩余40条确实归功于Anthropic或其关联研究员，但Garrity在博客中明确指出："这些可能是Glasswing的发现，但我们无法保证。"

这40条的归属呈现三种模式：

• Anthropic核心研究团队
• 研究员Nicholas Carlini个人
• 独立安全公司Calif.io（运营"MADBugs"项目，即"AI发现漏洞月"），署名格式为"Calif.io与Claude及Anthropic Research联合"

按受影响厂商分布：Mozilla Firefox浏览器28个，嵌入式SSL/TLS库wolfSSL 9个，F5 NGINX Plus 1个，开源操作系统FreeBSD 1个，开源软件库OpenSSL 1个。

只有一个CVE能被"直接关联"到Glasswing项目本身。

唯一确认的战利品：FreeBSD漏洞

CVE-2026-4747，FreeBSD远程代码执行漏洞，是Garrity确认与Glasswing直接挂钩的孤例。

该记录署名"Nicholas Carlini与Anthropic Research联合"。Carlini是知名安全研究员，其个人GitHub显示他长期专注于AI安全与漏洞研究，并非Glasswing专属成员。

关键疑点在于：这40个CVE的署名方式混杂了多种合作模式。Calif.io的MADBugs项目明确是独立运营，其"与Claude及Anthropic Research联合"的表述，无法区分是使用了Mythos模型，还是仅借助Claude系列的其他工具。

Garrity的措辞极为谨慎——"可能""无法保证""直接关联"——反映出安全研究社区对Anthropic宣传口径的核实困境。

数字迷雾：为什么确认这么难？

CVE数据库的署名机制本身制造了混乱。

当多个实体协作发现漏洞时，记录通常列出所有参与方。但"Anthropic Research"这一署名可能指代：使用Mythos模型的Glasswing项目、使用早期Claude版本的研究、或Anthropic安全团队的人工审计。

更关键的是时间线错位。Anthropic 4月7日才宣布Mythos模型，但Garrity搜索的是"2月以来"的记录。这意味着部分CVE可能产生于模型正式发布前，使用工具链存在本质差异。

Glasswing的封闭性加剧了信息黑箱。50家参与者的测试范围、发现漏洞的披露节奏、Anthropic的审核流程——全部不对外公开。外界只能依赖CVE数据库这一滞后指标，而数据库更新本身就有数周延迟。

Garrity的调查方法也有局限。他只检索了"Anthropic"字样，但漏洞发现者可能选择不署名、或使用"Claude"等变体。然而考虑到Anthropic的品牌动机，重大发现不太可能刻意隐藏关联。

宣传与现实的落差：一场预期管理事故？

Anthropic的原始声明构建了极高的能力预期。"所有主流操作系统和浏览器"的覆盖声明，配合"摧毁互联网"的风险渲染，天然引发外界对漏洞数量的想象——数百？上千？

但安全漏洞发现存在结构性瓶颈。

零日漏洞的挖掘需要深度系统知识、特定环境配置、以及反复试错。AI可以加速模式识别和代码分析，但复杂漏洞链的构造仍依赖人类研究员的直觉与验证。Carlini的个人参与——而非纯AI自主发现——恰恰说明了这一点。

Glasswing的设计也限制了产出规模。50家参与者的封闭测试，每家可能仅投入有限资源；漏洞披露需经厂商协调，周期漫长；高危漏洞的修复优先级高于公开CVE编号。

更深层的问题在于比较基准的缺失。Anthropic从未承诺具体数字，"40个可能相关"在绝对值上并非微不足道——但相较于宣传话术的冲击力，这个规模显得苍白。

这类似于自动驾驶领域的"完全自动驾驶"承诺：技术演示的惊艳与规模化落地的艰难，之间存在一道认知鸿沟。

行业涟漪：AI安全研究的信任成本

Garrity的调查本身已成为事件的一部分。

作为VulnCheck的研究员，他的工作具有第三方审计性质。当AI公司宣称具备颠覆性安全能力时，社区需要可验证的证据链——而非仅依赖厂商自述。这种"证明负担"的转移，是AI安全领域成熟化的标志。

对Glasswing参与者而言，现状可能并不糟糕。封闭测试的价值在于提前修复漏洞，而非公开CVE数量。苹果、微软等厂商的沉默，或许意味着他们确实获得了有价值的发现，只是选择不披露。

但对行业观察者来说，Anthropic的激进话术正在产生反噬。每一次"摧毁互联网"级别的警告，若无法对应可量化的成果，都会消耗社区信任储备。这在竞争激烈的AI安全赛道尤为危险——OpenAI、Google DeepMind同类产品正在路上，它们的宣传策略将直接参照Anthropic的得失。

Calif.io的MADBugs项目提供了另一种叙事可能：独立安全公司+AI工具的协作模式，可能比单一厂商的封闭测试更具可持续性。其"AI发现漏洞月"的命名，暗示了将AI漏洞研究常规化、而非事件化的企图。

追问：我们究竟在测量什么？

这场争议暴露了一个根本性的评估困境。

如果Glasswing的核心价值是"防止漏洞被恶意利用"，那么公开CVE数量本身就是次优指标——最好的结果是漏洞被静默修复、从未获得编号。但Anthropic选择了高调宣传模型能力，又拒绝提供可验证的数据，这种矛盾制造了信息真空。

Garrity找到的"1个确认关联"，与Anthropic暗示的"大规模混乱"能力之间，差距足以容纳多种解读：是模型被过度包装？是测试时间不足？是漏洞披露流程的延迟？还是"发现漏洞"与"获得CVE编号"本就是两个不同维度？

安全行业的历史提供了参照。2016年，Google的Project Zero以激进的90天披露政策震惊业界，初期同样面临"制造恐慌"的批评，但其透明的流程和可验证的成果最终建立了权威。Anthropic正处于类似的信任建设窗口期，但封闭测试的设计使其难以复制这一路径。

当Mythos模型最终面向更广泛群体开放时，真正的考验才会到来。届时，漏洞发现的规模、质量、以及与其他AI工具的对比，将构成无法回避的硬指标。

而此刻，那个悬而未决的问题仍在发酵：如果最危险的AI安全工具在三周内只能确认找到1个漏洞，我们之前对"AI将颠覆网络安全"的预期，是否建立在了错误的能力假设之上？