![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/4adbbfd70acd59c153845ab3f16f5b2d.png)

>"烽火连三月，家书抵万金。"
——杜甫《春望》
危机之中，一封来自AI的"安全家书"，价值何止万金。




----

## 一、深夜的警报


>"山雨欲来风满楼。"
——许浑《咸阳城东楼》


凌晨两点，老李的手机震动了。

老李是某中型金融科技公司的架构师，在这行干了十五年。他见过Y2K的恐慌，经历过云计算的洗牌，也熬过了微服务拆分的漫长阵痛。但这次，他盯着屏幕上那条新闻，手指停在了键盘上。

**Anthropic 宣布：Claude Mythos Preview 已在数周内，自主发现了全部主流操作系统和浏览器中的数千个零日漏洞，其中包括一个在 OpenBSD 中潜伏了整整 27 年的远程崩溃漏洞。**

他想起了公司核心支付系统下面跑着的那层老旧 Linux 内核。上次安全审计是三年前。那套系统的代码，连原作者都走了两批人了。

这不是科幻故事。这是 2026 年 4 月，正在发生的事。


----

## 二、Project Glasswing 官方核心内容


>"知己知彼，百战不殆。"
——《孙子兵法》


### Anthropic 官方声明要点（中文翻译）


**我们正式宣布 Project Glasswing（玻璃翼计划）**，一项联合 AWS、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、摩根大通、Linux 基金会、Microsoft、NVIDIA 和 Palo Alto Networks 的跨行业安全联盟，旨在保护世界上最关键的软件基础设施。

我们组建这个项目的直接原因，是在一个新的前沿模型中观察到了令人震惊的能力——**Claude Mythos Preview**。这是一个尚未公开发布的通用前沿模型，它揭示了一个严酷的事实：**AI 模型的编码能力已经达到了能够超越除顶尖安全专家之外所有人类的水平**，足以自主发现和利用软件漏洞。

Mythos Preview 已经发现了数千个高危漏洞，涵盖每一个主流操作系统和每一个主流浏览器。**三个典型案例**：


1. **OpenBSD 27年老洞**：发现一个让攻击者仅需连接即可远程崩溃任意目标机器的漏洞；

2. **FFmpeg 16年老洞**：在一行代码中发现漏洞，而自动化测试工具此前已命中这行代码逾**500万次**而毫无察觉；

3. **Linux 内核漏洞链**：自主发现并串联多个 Linux 内核漏洞，构建从普通用户权限到完全控制机器的完整攻击链。


在 CyberGym 基准测试中，

**Mythos Preview 得分 83.1%，而当前最强公开模型 Claude Opus 4.6 仅为 66.6%**。

作为回应，Anthropic 承诺：


- 投入 **1 亿美元** 算力使用额度供联盟成员使用；

- 向开源基金会捐赠 **400 万美元**（含 250 万给 Linux 基金会旗下 Alpha-Omega/OpenSSF，150 万给 Apache 软件基金会）；

- Mythos Preview **不会对外公开发布**，仅供防御性安全用途。


----

## 三、技术解码：Mythos 究竟突破了什么？


>"不识庐山真面目，只缘身在此山中。"
——苏轼《题西林壁》


老李把那篇官方文档反复读了三遍。他是技术人，他需要理解这个"能力阈值"到底是什么。

### 3.1 能力跃迁对比图

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/2712a1934f17592c9db2889021d8e3d4.png)
>高：Claude Mythos Preview　　低：Claude Opus 4.6


**关键数字：**


|基准测试|MythosPreview|Opus4.6|提升幅度|
|:-:|:-:|:-:|:-:|
|CyberGym（漏洞复现）|**83.1%**|66.6%|+16.5pp|
|SWE-bench Verified（代码修复）|**93.9%**|80.8%|+13.1pp|
|SWE-bench Pro（专业代码）|**77.8%**|53.4%|+24.4pp|
|HLE（人类最难考题）|**56.8%**|40.0%|+16.8pp|
|Terminal-Bench 2.0|**82.0%**|65.4%|+16.6pp|

1. CyberGym（漏洞复现）
	衡量模型在网络安全场景中，是否能根据描述复现漏洞、理解攻击链、完成利用步骤。偏安全实战能力。
2. SWE-bench Verified（代码修复）
	经典软件工程基准，题目来自真实开源仓库的 issue/bug。Verified 是人工或高质量流程校验过的子集，更可靠，主要看“修 bug 并让测试通过”的能力。
3. SWE-bench Pro（专业代码）
	SWE-bench 的更高难版本，任务通常更复杂、上下文更长、工程约束更多，更接近资深工程场景。
4. HLE（人类最难考题）
	一般指高难度综合推理/知识题集合（可理解为 “Humanity’s Last Exam” 这类方向），用来测极限推理与跨学科问题解决能力。
5. Terminal-Bench 2.0
	评估模型在终端/命令行环境里的真实操作能力：读改代码、跑命令、调试、修复流程自动化等，强调“能不能在 shell 里干活”。

另外表里的 +16.5pp 这种 pp 是 **百分点（percentage points）**，不是百分比增幅。


**老李的感受**：SWE-bench Pro 从 53.4% 跳到 77.8%，这不是量变，这是质变。这意味着 AI 已经能处理真实工业级别的复杂代码修复任务。

### 3.2 为什么 FFmpeg 的漏洞这么难发现？


老李想通了一件事：**传统静态扫描工具的盲点，正是 AI 的优势所在。**

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/d667825c69e5b45c2c7a11f96485176d.png)


核心差异在于：**传统工具做的是模式匹配，Mythos 做的是语义推理**。

就像一个考试只会背答案的学生，和一个真正理解数学原理的学生之间的差距。


----

## 四、企业痛点：老李团队的真实困境


>"居安思危，思则有备，有备无患。"
——《左传》


老李打开了公司的安全现状报告，列出了他最头疼的三件事：

### 4.1 典型企业安全痛点分析


![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/48f63f332c5e9873bb82d5dce82c87e2.png)


### 4.2 一个真实的业务决策场景


老李团队有一套核心支付清算系统，上线八年，日均处理交易金额超过 5 亿元。去年有人提议重构，但被业务部门否决了——"系统稳定运行，别乱动"。

在 Mythos 出现之前，这个决策合理：重构风险高，收益不确定。

在 Mythos 出现之后，这个决策需要重新审视：

>**问题不再是"要不要重构"，而是"如果 AI 已经能在几周内扫描出你系统里的零日漏洞，你还有多少时间窗口"？**


Cisco CISO Anthony Grieco 的话直接击中要害：

>"AI 能力已经越过了一个临界点，它从根本上改变了保护关键基础设施所需的紧迫性。旧的系统加固方式已经不再足够。"


----

## 五、架构师视角：三条核心洞见


>"问渠那得清如许？为有源头活水来。"
——朱熹《观书有感》


老李沉默了很长时间，然后打开了一个新文档，开始写下他的判断。


----

### 🔍 洞见一：安全左移已不够，需要"安全全渗透"


**传统做法**："安全左移"——把安全测试前置到开发阶段。

**新现实**：当 AI 能自主构建漏洞利用链，光靠"左移"还不够，你需要在整个软件生命周期中**持续、自动地运行 AI 级别的安全审计**。

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/0c3a822d4e80de213f01b3948bc8d088.png)
**实践建议**：将 AI 安全扫描接入 CI/CD 流水线，每次 PR 合并都触发一次语义级别的安全审计，而不只是规则扫描。


----

### 🔍 洞见二：开源依赖是你最大的隐性负债


FFmpeg 漏洞潜伏 16 年、500 万次测试未发现——这不是 FFmpeg 的失败，这是**整个软件行业对开源安全投入严重不足**的缩影。

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/7a43a30d1ee605ae26e0f9635e51f82c.png)

**实践建议**：


- 建立完整的软件物料清单（SBOM），每个依赖库都要有版本锁定和来源追踪；

- 优先对核心链路上的开源组件进行 AI 辅助安全审计；

- 关注 Project Glasswing 后续披露的漏洞，及时对应排查。


----

### 🔍 洞见三：AI 规约编程时代，代码生成即安全引入


当前 AI 辅助编程（Cursor、Claude Code、GitHub Copilot）已大规模渗透到研发流程。但一个残酷的事实是：

>**AI 生成的代码，也会带入 AI 能发现的漏洞。你用低配 AI 写代码，高配 AI 来找漏洞——这是一场不对等的战争。**


![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/54fac2f93cd2dd358f16540d6510ff6c.png)
**实践建议**：在研发流程中引入 AI 安全审查作为强制门禁，而不是可选项。代码生成的速度在加快，安全审查的频率必须同步提升。


----

## 六、架构行动路线图


>"千里之行，始于足下。"
——《道德经》


老李把三条洞见浓缩成了一张可执行的路线图，贴在了团队的 Wiki 上。

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/e4063e98d40cb8209e355b14054b5238.png)
### 方法论小结


|维度|旧思维|新思维|
|:-:|:-:|:-:|
|**安全时机**|上线前 / 年度审计|每次提交 / 持续监控|
|**扫描深度**|规则匹配 / 已知CVE|AI语义推理 / 零日发现|
|**开源治理**|依赖引入即信任|SBOM + AI审计 + 版本锁定|
|**AI编程**|提效工具|同时是安全引入源，需审计|
|**响应速度**|漏洞披露后修复|提前主动扫描，先于攻击者|


----

## 七、行动号召：留给你的时间窗口正在关闭


>"逝者如斯夫，不舍昼夜。"
——《论语》


老李合上笔记本，发了一条消息给他的安全负责人：

>"明天上午开会。议题：我们的支付系统，上次完整安全审计是什么时候？"


Project Glasswing 的出现，不只是 Anthropic 的一次 PR 公关，它是一个**技术警示信号**：

**AI 发现漏洞的能力，已经超过了人类的防御速度。**

这不是末日预言，这是一个可以把握的机会——因为 Anthropic 选择了**把这把枪先交给防守方**。

联盟中有 AWS、Google、Microsoft、Cisco，他们正在把 Mythos Preview 用于自家基础设施的安全加固。

**作为企业架构师，你能做什么？**

![image.png](https://developer.qcloudimg.com/http-save/yehe-9261324/6d4e4a3f526fc15b60e70595fbf5e4af.png)
**最后，老李想对每一个架构师说：**

>27年前，有人写下了那行代码，然后离开了。那行代码活了下来，藏在无数个系统里。
今天，一个AI用几周时间找到了它。
**你的系统里，还有多少行这样的代码在等待着被发现？**
**唯一的问题是：谁会第一个找到它——你，还是你的攻击者？**


----

参考来源：[Anthropic Project Glasswing 官方公告](https://www.anthropic.com/glasswing) | 发布于 2026 年 4 月

作者视角：老李，AI时代的架构师。

本文所有观点为技术分析，不构成任何投资建议。

"烽火连三月，家书抵万金。"——杜甫《春望》危机之中，一封来自AI的"安全家书"，价值何止万金。

当Mythos发现你27年未打的补丁，架构师该怎么办？

在研发流程中引入 AI 安全审查作为强制门禁，而不是可选项。代码生成的速度在加快，安全审查的频率必须同步提升。

架构师

安全

架构设计

人工智能

AI安全新时代来临！ClaudeMythosPreview在数周内发现数千个高危漏洞，包括OpenBSD27年老洞和Linux内核漏洞链。ProjectGlasswing联盟启动1亿美元安全计划，企业需重构安全策略，将AI审计纳入CI/CD流程，建立SBOM清单，应对AI时代的安全挑战。

自动化测试工具

网络安全

安全测试

零日漏洞

安全审计

软件工程

安全左移

云计算

OpenBSD

Linux

2026采购季 | AI焕新·智启新局

ddos

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

当Mythos发现你27年未打的补丁，架构师该怎么办？-腾讯云开发者社区-腾讯云

当Mythos发现你27年未打的补丁，架构师该怎么办？

当Mythos发现你27年未打的补丁，架构师该怎么办？

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐