Anthropic Project Glasswing究竟发现了多少漏洞？

上周，Anthropic出人意料地宣布，其最新模型Mythos在漏洞挖掘方面能力过于强大，若公开发布可能引发严重混乱。如今，以"Project Glasswing"为名，超过50家经过筛选的企业和机构获准测试这一备受关注的大语言模型，目的是在自家产品中寻找安全漏洞。然而，这一项目究竟发现了多少问题，至今仍是一个谜。

据安全研究机构VulnCheck的研究员Patrick Garrity估计，答案可能是40个，也可能一个都没有。

Anthropic于4月7日正式发布了最新模型，并声称Claude Mythos Preview已在"所有主流操作系统和主流浏览器"中发现零日漏洞，并具备开发相应利用程序的能力。

鉴于将这类零日漏洞挖掘机器向公众开放可能引发大规模混乱并严重冲击互联网生态——至少Anthropic自己是这么认为的——该公司决定向约50家行业合作伙伴开放内测，让这些机构在黑客有机会利用漏洞之前，率先发现并修复自身产品中存在的安全隐患。

这一内测计划正是Project Glasswing。目前尚不清楚全部参与者名单，但已知包括亚马逊云科技（AWS）、Anthropic、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达、Palo Alto Networks以及英特尔。

Garrity在周三发布的一篇博客文章中表示，在讨论Project Glasswing时，"有一个问题被反复提及"——那就是："它究竟发现了什么漏洞，披露了哪些内容，又为哪些漏洞申请了CVE编号？"

为此，他决定深入挖掘拥有超过327,000条记录的CVE数据库，寻找答案。Garrity以"Anthropic"为关键词，检索了该数据库中2月份以来的所有相关记录，并逐一进行审查。

最终，他共找到75条包含该关键词的记录。然而其中35条是与Anthropic旗下工具相关的CVE，涉及Claude Code、MCP Inspector及第三方集成等产品，与Glasswing项目无关，因此被排除在外。

剩余40条CVE归属于Anthropic或Anthropic关联研究人员，有可能是Glasswing的研究成果，但目前尚无法确认。

Garrity写道："这40条CVE来自三个不同的归属主体：Anthropic核心研究团队、研究员Nicholas Carlini个人，以及独立安全研究机构Calif.io——后者运营着一个名为MADBugs（AI发现漏洞月）的项目，并以'Calif.io与Claude及Anthropic研究团队联合'的名义署名。"

按厂商分类来看：40个CVE中，28个涉及Mozilla Firefox浏览器，9个涉及wolfSSL嵌入式SSL/TLS库，1个涉及F5的NGINX Plus应用交付平台，FreeBSD开源操作系统和OpenSSL开源软件库各占1个。

Garrity认为，目前公开披露的CVE中，只有一个可以被"直接关联"到Glasswing项目。

这便是CVE-2026-4747，一个存在于FreeBSD中的远程代码执行漏洞。尽管该CVE记录将发现者归属为"Nicholas Carlini使用Claude与Anthropic"，并未明确提及Glasswing，但Anthropic上周的博客文章专门点名了CVE-2026-4747，并作出如下描述："Mythos Preview完全自主地识别并利用了FreeBSD中一个存在长达17年的远程代码执行漏洞，任何人都可借此在运行NFS的机器上获取root权限。"

Anthropic还表示，Mythos Preview发现了一个已修复的OpenBSD系统中存在27年之久的漏洞、一个已存在16年的FFmpeg漏洞，以及Linux内核提权利用链。上述漏洞均尚未被分配CVE编号。

"在公开披露完成之前，全貌将无从得知。Anthropic已表示将于2026年7月前后发布一份公开摘要报告。"Garrity说。

他同时建议Anthropic"建立一个专属的安全公告页面，以统一、规范的方式发布安全通告和漏洞披露信息，帮助用户理解一个关键问题：Anthropic研究团队和Project Glasswing究竟发现了哪些漏洞？"

Q&A

Q1：Project Glasswing是什么项目？有哪些公司参与？

A：Project Glasswing是Anthropic发起的一项漏洞内测计划，允许约50家行业合作伙伴使用Claude Mythos Preview模型，在黑客利用漏洞之前率先发现并修复自身产品的安全隐患。已知参与方包括亚马逊云科技、苹果、谷歌、微软、英伟达、思科、英特尔、CrowdStrike、Palo Alto Networks、摩根大通等知名企业及Linux基金会。

Q2：Claude Mythos Preview目前发现了多少个CVE漏洞？

A：目前尚无确切答案。VulnCheck研究员Patrick Garrity通过检索CVE数据库，找到40条可能与Anthropic相关的漏洞记录，但无法完全确认这些漏洞均来自Project Glasswing。其中只有CVE-2026-4747这一FreeBSD远程代码执行漏洞被Anthropic官方明确提及。Anthropic预计将在2026年7月前后发布完整的公开披露报告。

Q3：Claude Mythos Preview发现的漏洞都涉及哪些产品？

A：根据现有CVE记录，40个可能与Anthropic相关的漏洞中，28个涉及Mozilla Firefox浏览器，9个涉及wolfSSL嵌入式SSL/TLS库，1个涉及F5 NGINX Plus，FreeBSD和OpenSSL各1个。此外，Anthropic还声称该模型发现了OpenBSD中一个27年前的漏洞、FFmpeg中一个16年前的漏洞，以及Linux内核提权利用链，但这些漏洞尚未获得CVE编号。