AI 開始自己抓漏洞!Anthropic Project Glasswing 擴大到 15 國,Claude Mythos 一個月揪出上萬個 0-day
2026年6月14日
Anthropic 把資安專案 Project Glasswing 擴大到全球 150 個組織、15 個以上國家,動用尚未公開的 Claude Mythos 模型,在數週內找出上萬個高危漏洞。AI 真的會找漏洞了,這對台灣的資安代表什麼?
AI 開始自己抓漏洞!Anthropic Project Glasswing 擴大到 15 國,Claude Mythos 一個月揪出上萬個 0-day
深夜十一點,新竹一家做網通設備的公司,資安工程師還在電腦前盯著掃描報告。他手上那套靜態分析工具跑了一整天,標出幾十個「可能有問題」的地方,大半是誤報。他揉了揉眼睛,心裡想的是:要是有個東西能直接幫我把真正會被打的洞挑出來,該有多好。
這個「東西」,Anthropic 說它做出來了。2026 年 6 月 2 日,Anthropic 宣布把它的資安專案 Project Glasswing 大幅擴大,新增約 150 個組織、橫跨 15 個以上國家,動用一個還沒對外公開的模型——Claude Mythos,去主動找出關鍵基礎設施程式碼裡的漏洞。重點是,它不只「找」,還能自己寫出可運作的攻擊程式來驗證。AI 開始自己抓漏洞,這件事正在從研究室走向真實世界。
事件背景
Project Glasswing 不是憑空冒出來的。它的核心是 Claude Mythos——Anthropic 目前最強、專門針對「在程式碼裡找安全漏洞」設計的模型。因為這種能力是典型的雙面刃(找得到洞,就能打得進去),Anthropic 選擇不公開釋出 Mythos,只開放給防禦端的聯盟成員使用。
在這次擴大之前,Glasswing 早期聯盟就已經拉進 Microsoft、Apple、Google、Cloudflare 等超過 50 家科技組織。成果相當嚇人:在第一個月內,Mythos Preview 就自動找出超過一萬個高危與重大等級的 0-day(零時差)漏洞;Mozilla 用它在 Firefox 150 修掉 271 個漏洞,findings 數量是先前用 Claude Opus 測試的十倍;它甚至找到 wolfSSL 加密函式庫的重大漏洞(CVE-2026-5194),並成功做出可偽造憑證的攻擊驗證。英國 AI 安全研究所更指出,Mythos 是第一個能完整解開他們「多步驟網路攻擊模擬」的模型。
本次重點
- 規模大幅擴張:6 月 2 日,Glasswing 擴大到約 150 個新組織、15 個以上國家,涵蓋澳洲、加拿大、法國、德國、義大利、瑞士、荷蘭、西班牙、比利時、瑞典、印度、日本、紐西蘭、南韓等。
- 夥伴名單很硬:新增 Okta、Samsung、SK Hynix、SK Telecom,以及 NATO、歐盟資安署 ENISA 等政府與國防級別組織。
- 鎖定關鍵基礎設施:目標集中在電力、供水、醫療、通訊與硬體產業。Anthropic 的說法是,這些夥伴的共通點是「一旦被成功攻擊,後果可能極為嚴重」,多數情況下一次重大攻擊「可能影響超過一億人」。
- 能力驚人但被刻意關起來:Mythos 能在數週內找出上萬個漏洞、甚至自動產出可用的 exploit,正因為太危險,Anthropic 不公開釋出,只給防禦聯盟用。
市場影響分析
台灣使用者:一般人不會直接用到 Mythos,但你會間接受惠。你每天在用的瀏覽器、作業系統、加密通訊,背後的漏洞被 AI 提早抓出來修掉,代表你被攻擊的破口變少。Firefox 一次修 271 個洞就是活生生的例子。不過也別因此鬆懈——AI 找得到洞,壞人遲早也能用類似技術找洞,基本的更新、雙重驗證、別亂點連結這些功課還是得做。要分辨訊息真假、防詐騙,平常也可以搭配像 Whoscall 這類工具多一層把關。
企業應用:這是台灣企業最該關注的一段。台灣有大量做硬體、半導體、網通的公司,SK Hynix、Samsung 進聯盟,等於同產業的競爭對手已經先用上「AI 自動找漏洞」這套防禦。對台廠來說,這是一個明確訊號:傳統「一年做一次滲透測試」的節奏可能不夠看了。短期內不一定每家都能加入這種頂級聯盟,但至少要開始評估,把 AI 輔助的資安檢測納入流程。導入前怎麼把關、怎麼評估風險,可以參考 AI Agent 上線前,你一定要做的評測與安全把關。
開發者:對寫程式的人,這既是好消息也是壓力。好消息是,AI 抓漏洞的能力會慢慢下放到一般開發工具裡,未來你在 GitHub Copilot、Cursor 或 Claude 裡寫程式時,可能順手就能拿到更深層的安全建議。壓力是,「程式能跑就好」的時代正在過去——當 AI 能自動找出你程式裡的洞,寫出安全的程式碼會變成基本要求而不是加分項。想了解 AI 寫程式整體戰局怎麼變,可以看 Claude Code 領跑、微軟 Google 急追:2026 年中 AI 寫程式戰局解析。
未來發展趨勢
第一,資安攻防進入 AI 對 AI 的時代。防禦方用 AI 找洞、修洞,攻擊方也會用 AI 找洞、打洞,速度與規模都會被拉到新層級。
第二,「夠強的模型該不該公開」會成為核心爭論。Anthropic 把 Mythos 關起來只給聯盟用,這種「管制級模型」的治理思路,接下來會被更多人討論與仿效。
第三,關鍵基礎設施會優先被保護,但中小企業恐被落下。頂級聯盟資源集中在電力、醫療、通訊這種「攻擊就影響上億人」的目標,一般中小企業要等到能力下放到普及工具,還需要一段時間。
TheAI學院 總結與評語
講真的,這則新聞最讓我有感的不是「找到一萬個洞」這個數字,而是 Anthropic 選擇「不公開」Mythos 這個決定。一個強到能自動寫攻擊程式的模型,放出來人人可用,後果不敢想。願意把能力關起來、只給防禦端,這種克制本身就是一種態度。
AI 不只會寫程式,現在還會自己找程式的漏洞——資安的攻與防,正式進入「機器對機器」的新回合。
給台灣讀者的具體建議:如果你是企業 IT 或資安負責人,現在就該把「AI 輔助資安檢測」排進今年的評估清單,別等到同業都上了才追。如果你是開發者,從今天起就把「安全」當成寫程式的預設值,而不是上線前才補的功課。
資料來源
- TechCrunch:Anthropic scales Claude Mythos to critical infrastructure in 15+ countries
- Anthropic:Project Glasswing — An initial update
- Help Net Security:Anthropic — Claude Mythos identified 10,000+ software flaws
依公開資訊整理、以官方為準。
常見問題
Claude Mythos 是什麼?我可以用嗎?
Claude Mythos 是 Anthropic 目前最強、專門針對「在程式碼中找安全漏洞」設計的模型。因為這種能力屬於雙面刃(能找漏洞也能用來攻擊),Anthropic 刻意不對一般大眾公開釋出,只開放給 Project Glasswing 防禦聯盟的成員使用。所以一般使用者與開發者目前無法直接使用 Mythos。
Project Glasswing 找出上萬個漏洞,是真的嗎?
依 Anthropic 官方與多家資安媒體報導,Mythos Preview 在專案第一個月內自動找出超過一萬個高危與重大等級的 0-day 漏洞,Mozilla 也用它在 Firefox 150 修掉 271 個漏洞。具體數字以 Anthropic 官方公告為準,本文依公開資訊整理。
這對台灣的資安有什麼實際影響?
間接影響很大。你常用的瀏覽器、作業系統、加密元件漏洞被提早修補,你被攻擊的風險就降低。對企業而言,SK Hynix、Samsung 等同產業夥伴已加入聯盟,代表台灣硬體、半導體、網通業者應開始評估把 AI 輔助資安檢測納入流程,別停在一年一次滲透測試的舊節奏。
AI 會找漏洞,是不是代表壞人也能用 AI 攻擊?
風險確實存在,這也是 Anthropic 不公開 Mythos 的原因。防禦方用 AI 找洞、修洞,攻擊方理論上也可能用類似技術找洞。因此基本的資安功課——及時更新、開啟雙重驗證、不亂點不明連結——仍然重要,別因為有 AI 防護就鬆懈。
資料來源:theai
