文章总结： VulnCheck分析显示ClaudeMythos（ProjectGlasswing）当前实际成效有限，75个相关CVE中仅1个明确归功于该AI模型。专家指出其在漏洞利用成功率从近乎零提升至72%，但模型能力扩散速度可能超过企业防护能力。建议关注2026年7月Anthropic将发布的完整漏洞报告，并加强企业自动化补丁工作流以应对AI安全威胁。 综合评分： 81 文章分类： AI安全,漏洞分析,威胁情报,安全运营,其他

Claude Mythos 安全神话：炒作还是名副其实？

FreeBuf

2026年4月21日 18:31 上海

在小说阅读器读本章

去阅读

#

Part01

炒作遇冷：

VulnCheck分析质疑实际成效

当OpenAI正计划推出专注于网络安全的AI模型展开竞争时，VulnCheck安全专家最新研究对Claude Mythos（即”Project Glasswing”）的实际影响提出了质疑。目前该模型仅由美国大型科技公司等精选机构参与测试。

VulnCheck研究员Patrick Garrity在博客中指出：”Anthropic的Project Glasswing引发了广泛关注，但提供的具体数据却非常有限。”虽然Anthropic的研究活动确实有助于发现漏洞且整体前景看好，但该项目目前可验证的实际影响仍较为有限。

Glasswing备受关注，我们通过分析验证其当前成效：https://t.co/UKmHYT3vaJ

75个CVE提及Anthropic

40个归功于其研究人员

1个明确关联Glasswing（截至目前）

预计今年将有更多进展，我们将持续追踪。

— VulnCheck (@VulnCheckAI) 2026年4月15日

Part02

CVE数据深度剖析

VulnCheck团队对”Project Glasswing”相关的CVE记录进行了全面审查。Garrity表示：”无论是Glasswing报告还是Anthropic发布的安全公告，都未提供完整的漏洞发现清单。因此我决定检索整个CVE数据库，筛选包含’anthropic’关键词的记录并逐一验证。”

研究共识别出75条相关CVE记录，其中仅40条明确归功于Anthropic研究人员。进一步分析显示，只有1个CVE（涉及FreeBSD远程代码执行漏洞）被明确标记为”Project Glasswing”自主发现并利用的成果。另有三个处于保密期的漏洞未被计入分析：

• OpenBSD中存在27年的安全漏洞
• FFmpeg长达16年的缺陷
• Linux内核权限提升攻击链

Garrity指出：”只有待Anthropic全面公开Project Glasswing发现和修复的漏洞详情后，才能客观评估Claude Mythos的实际能力。”他预计相关报告将于2026年7月发布。

Part03

专家观点交锋

VulnCheck的发现为评估Claude Mythos能力提供了新视角——可归因CVE数量仅是衡量其影响的指标之一。

安全厂商Tanium高级总监、SANS技术研究所理事Melissa Bischoping持有不同观点：”我们分析了Claude Mythos预览版的系统卡，该模型在漏洞利用方面取得了前所未有的成功率。对同类攻击目标，成功率从近乎零跃升至约72%，表明其已突破开发复杂漏洞利用的技术瓶颈。”

尽管Claude Mythos目前仅在Project Glasswing限定范围内测试，Bischoping认为它已展现未来潜力：”前沿模型与开源模型的差距已从一年多缩短至数周。这种能力水平将快速扩散，而安全防护措施很可能无法同步跟进。”她特别担忧企业在模型公开前能否及时响应其发现的威胁：”虽然自动化补丁工作流可对抗AI威胁，但企业策略和变更控制目前仍无法匹配AI的速度。”

参考来源：

Claude Mythos – ist der Hype gerechtfertigt?

https://www.csoonline.com/article/4160754/claude-mythos-ist-der-hype-gerechtfertigt.html

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Claude Mythos 安全神话：炒作还是名副其实？》