Anthropic发布Glasswing项目：用AI守护数据中心安全

Anthropic近日推出了"Glasswing项目"，旨在保护驱动现代数字基础设施的软件栈安全。随着AI加速发现各类系统中的漏洞，如何防范这一趋势带来的风险，已成为业界关注的焦点。

该项目的核心是一款名为Claude Mythos的新模型，专为识别并协助修复复杂环境中的软件缺陷而设计。目前，该模型正在受控环境中与特定合作伙伴展开部署测试，以评估如何在不引入新风险的前提下，将先进AI应用于防御性网络安全工作。

该项目汇聚了AWS、谷歌、微软、英伟达和思科等主要科技企业，共同测试Anthropic模型在广泛部署平台上的表现，探索如何将日益强大的AI系统安全地应用于防御性安全领域。

从算力到安全

随着AI工作负载在数据中心的规模不断扩张，业界面临的核心挑战已从算力供应转变为如何保护迅速膨胀的软件栈——涵盖训练流水线、推理系统、编排层及开源组件等各个环节。

Glasswing项目将AI定位为嵌入软件栈的持续性安全层，而非仅依赖定期检测。

IDC云与边缘服务研究副总裁戴夫·麦卡锡表示："Glasswing项目标志着安全工作从定期审计转向云基础架构中常态化、自主运行的安全层。对基础设施提供商而言，这意味着向自愈环境的根本性转变——模型将充当数据中心的实时免疫系统。"

参与项目的合作伙伴将使用该模型的预览版本，在自身系统漏洞被利用之前主动探测。然而，这一转变也引发了一个核心隐忧：漏洞发现的速度可能很快就会超过修复的速度。

共担风险

现代软件环境大量依赖共享组件，尤其是那些往往由小型团队维护的开源项目。通过向参与者提供受控的模型访问权限，Anthropic试图在整个生态系统中协调漏洞发现工作。

Enterprise Strategy Group网络安全实践总监梅琳达·马克斯指出："Anthropic与安全供应商及云服务提供商开展合作，是明智之举，因为安全合规问题往往会拖慢AI的落地进程。安全问题解决得越好，企业采用AI的信心就越强。"

马克斯表示，类似的阻力在早期云计算普及过程中同样出现过，当时将安全工作整合进平台和开发流程，被证明是规模化推广的关键所在。

此次项目也揭示了一个日益突出的矛盾：增强防御能力的模型，同样可能被用于发现和利用漏洞。

Anthropic将访问权限限定在受控合作伙伴范围内，旨在趁同等能力广泛普及之前，率先评估其防御性应用。这折射出AI能力快速发展与相关治理框架之间不断扩大的落差。

Evotek首席技术官穆迪·埃尔巴亚迪在一篇LinkedIn文章中写道："Anthropic本周发布的Glasswing项目让一件事变得极为清晰：2026年，我们正从AI基础设施前时代跨入后AI时代。就像Y2K迫使我们正视潜藏于所有系统中的脆弱性一样，Glasswing项目正迫使我们用全新的视角重新审视每一个应用、服务和代码库。"

发现加速，修复滞后

该项目旨在压缩从引入漏洞到完成修复之间的时间差——这一难题长期困扰着业界，在开源生态中尤为突出。

麦卡锡表示："保障AI工作负载的安全，需要从静态边界防御转向更具动态性的行为架构。传统应用程序的故障模式可以预测，但AI工作负载引入的是不确定性风险。"

这一转变也在动摇软件安全领域长期以来的固有假设。

NCC Group首席执行官迈克·麦迪逊表示："Anthropic的最新能力预示着网络风险格局将发生质变。漏洞发现不再受人工审查周期的制约，留给修复工作的窗口期实际上已大幅缩短。"他还指出，长期被视为稳定可靠的遗留代码，如今可能因AI系统大规模分析和利用其弱点而面临全新暴露风险。

但发现速度的加快也带来了新的挑战。

麦卡锡警告道："一个迫在眉睫的修复悖论正在形成——AI识别漏洞的速度，已远超人工基础设施团队所能应对的极限。如果我们不能在发现漏洞的同时实现自动修复，那我们不过是为一场扑不灭的大火安装了一个更灵敏的警报器。"

马克斯表示，各组织已开始加快向自动化转型以跟上节奏。"安全项目需要从单纯发现漏洞，进化为切实有效地降低风险。各组织正寻求自动化修复、AI驱动的建议与编排能力，以尽快解决安全问题。"

Arctic Wolf技术与服务总裁丹·斯基亚帕表示："Claude Mythos这样的前沿大语言模型代表着网络安全领域真正的拐点，因为它们大幅压缩了从发现漏洞到实施利用之间的时间窗口。曾经需要数天乃至数周才能完成的事，如今可能在数小时乃至数分钟内发生。"

因此，瓶颈正从发现环节转移至响应环节，众多代码库面临不断积压的漏洞，而相关团队往往缺乏足够资源快速应对。

对运营商的影响

对于数据中心运营商而言，AI工作负载的规模扩张使攻击面不断延伸，涵盖软件供应链、编排系统和计算环境等多个层面。要保障这些环境的安全，需要能够持续识别和缓解风险的全天候AI驱动系统。

马克斯表示，这同样需要各团队之间更为紧密的协作。"随着组织对速度和规模的要求不断提升，IT与安全之间的壁垒必须打破，工具之间也需要共享数据才能高效运转。"

基础设施的定义不再局限于物理和计算层面，软件层的安全性正日益成为其核心所在。

Anthropic强调，该项目目前仍处于早期阶段，相关发现将为后续更大范围的部署提供指引。

马克斯指出，业界对AI驱动安全的信任仍在逐步建立之中。"各组织依然希望保持人工介入，但也意识到需要借助AI来支撑规模化运营。随着这些工具不断证明其有效性，信任自然会随之而来。"

Q&A

Q1：Glasswing项目是什么？主要解决什么问题？

A：Glasswing项目是Anthropic推出的一项安全计划，核心目标是保护现代数字基础设施中的软件栈安全。随着AI能力的增强，漏洞被发现和利用的速度大幅加快，该项目通过Claude Mythos模型，与AWS、谷歌、微软等主要科技合作伙伴协作，在受控环境中主动探测系统漏洞，推动防御性AI安全的实际应用。

Q2：Claude Mythos模型有什么特别之处？

A：Claude Mythos是Anthropic专为网络安全防御设计的AI模型，能够在复杂软件环境中识别并协助修复漏洞。与传统安全工具相比，它将漏洞发现从"定期审计"转变为"持续实时监测"，大幅压缩了漏洞从发现到修复的时间窗口。目前该模型以预览版形式面向特定合作伙伴开放，处于受控测试阶段。

Q3：AI用于安全防御会带来哪些风险？

A：AI在提升安全防御能力的同时，也可能被用于发现和利用漏洞，形成双刃剑效应。此外，AI发现漏洞的速度已远超人工团队的修复能力，造成"修复悖论"——警报越来越灵敏，但问题未必能及时解决。为此，Anthropic将访问权限限制在受控合作伙伴范围内，并强调自动化修复与AI驱动编排的重要性。