【安全资讯】Project Glasswing与开源安全：AI漏洞挖掘的机遇与挑战

概要：

在网络安全威胁日益复杂的背景下，Anthropic公司联合多家科技巨头推出了耗资1亿美元的“Project Glasswing”项目，旨在利用其新型AI程序Mythos，自动挖掘并修复关键开源软件中长期隐藏的漏洞。这一举措标志着AI在网络安全领域的应用进入新阶段，其宣称能高效生成零日漏洞利用的能力，既带来了修复隐患的希望，也给本已资源紧张的开源维护者社区带来了前所未有的压力。

主要内容：

Anthropic声称其Mythos Preview模型在发现和利用软件漏洞方面，能力已超越绝大多数顶尖人类专家，成功率高达72.4%。该模型已发现包括OpenBSD中一个存在27年的漏洞、FFmpeg视频编码代码中一个16年的漏洞，以及Linux内核中一系列可导致权限提升至root的链式漏洞利用。

然而，高效发现漏洞仅是第一步。cURL创始人Daniel Stenberg指出，AI生成的漏洞报告虽然质量有所提升，但大多不附带修复方案，这给本就人手不足的开源项目维护者带来了沉重负担。安全公司Chainguard的CEO Dan Lorenc也警告，各项目和企业需为即将到来的海量漏洞报告和补丁修复工作做好准备。

关键问题在于修复能力的不匹配。Linux基金会的David Wheeler指出，Anthropic的承诺不仅是“发现”还包括“扫描与加固”，即利用AI同时生成修复方案，这至关重要。但Mythos本身是专有软件，引发了开源社区对技术锁定的担忧。为此，社区正推动如OSS-CRS等开源标准框架，以降低对单一专有工具的依赖。

当前正处于AI与软件开发的关键转折点。Linux基金会CEO Jim Zemlin强调，在技术生态消化AI影响的过渡期，攻击者可能获得显著优势，利用AI辅助编写的攻击工具已出现。社区必须在利用AI增强防御与保持开源生态独立性之间找到平衡。