上周Anthropic公司公布了玻璃翼项目Project Glasswing其AI模型在发现软件漏洞方面效率惊人以至于该公司采取了非常规措施推迟公开版本发布。目前仅向苹果、微软、谷歌、亚马逊等企业联盟开放访问权限旨在赶在攻击者之前发现并修补漏洞。作为玻璃翼项目前身的Mythos Preview模型在所有主流操作系统和浏览器中均发现了漏洞。其中部分漏洞在经历数十年人工审计、激进模糊测试和开源审查后依然存在。有一个漏洞甚至在OpenBSD中潜伏了27年——该系统被公认为全球最安全的操作系统之一。人们很容易将此归类为AI实验室宣称其AI过于危险的套路类似OpenAI当年对GPT-2的操作。但这次情况有本质不同Mythos不仅发现了独立漏洞CVE更实现了将四个独立漏洞串联成攻击链同时绕过浏览器渲染器和操作系统沙箱通过竞争条件在Linux系统中实现本地权限提升针对FreeBSD的NFS服务器构建了包含20个组件的ROP链攻击载荷分散在多个数据包中对比鲜明的是Anthropic前代旗舰模型Claude Opus 4.6几乎完全无法自主开发漏洞利用程序而Mythos在Firefox JS引擎测试中成功率高达72.4%。这已非理论推演或三五年后的预测而是即将到来的工程现实。玻璃翼项目暴露的真实网络安全缺口安全负责人最应警惕的数字是Mythos发现的漏洞中仅有不到1%得到修补。全球最强大的漏洞发现引擎对阵最关键软件系统时整个生态却无法消化其输出。玻璃翼解决了发现问题但修复难题仍悬而未决。防御者为何力不从心日历速度 vs 机器速度网络安全行业多年来始终绕不开这个结构性矛盾AI的介入使其无法继续被忽视。防御者遵循日历速度工作流收集情报→制定方案→模拟威胁→实施缓解→循环往复顺利时完成周期仍需四天。而攻击者尤其是全程运用大语言模型的正以机器速度推进。AI驱动的攻击已实现全自动化今年初某攻击组织在针对FortiGate设备的攻击链中部署了托管LLM的定制MCP服务器。该AI自主完成后门创建、内网拓扑测绘、漏洞评估、以及优先执行获取域管理员权限的攻击工具。最终导致106个国家2516家机构同时沦陷——从初始访问到凭证转储再到数据外泄整个攻击链完全自主运行人类仅事后查看结果。AI漏洞发现速度远超修复能力攻击与防御的速度差并非新现象但原本细微的差距现已裂变为鸿沟AISLE等自主系统在OpenSSL近期协同发布中发现14个CVE中的13个这些漏洞曾逃过多年人工审查XBOW成为2025年HackerOne平台排名第一的黑客超越所有人类参与者从漏洞披露到武器化利用的中位时间从2018年的771天骤降至2024年的数小时到2025年多数漏洞将在公开披露前完成武器化若将Mythos级发现能力纳入此图景世界不会自动变得更安全只会迎来需要人工核实的海量有效发现而组织流程、业务连续性考量和补丁周期等环节十年来未有本质改变。如何构建适配Mythos的安全体系面对玻璃翼项目本能反应是追问如何发现更多漏洞但这实则是错误命题。真正的问题是当数千个可 exploitation 漏洞明日出现在你案头时现有体系能否有效处理对多数组织而言诚实答案是否定的。根源不在于工具或人才短缺而是依赖周期性人工启动流程的结构性缺陷——这套机制设计初衷是应对细水长流的漏洞而非排山倒海的冲击。我们无法修复所有漏洞也无法实施所有加固方案。这非悲观论调而是有效安全体系的务实起点。关键问题不是CVE是否严重而是该漏洞在当下部署环境中是否具备可 exploitation 条件适配Mythos的安全体系需要三大支柱第一信号驱动验证替代计划性测试当新威胁出现、资产变更或配置漂移时防御措施需立即针对具体变化进行测试而非等待季度渗透测试或人员档期。计划性验证的前提是威胁环境稳定如今这个假设已彻底失效。第二环境特异性上下文优先于通用CVSS评分玻璃翼将产生CVE雪崩但多数漏洞管理程序仍依赖CVSS评分排序。这种脱离上下文的指标仅反映漏洞理论危害无法判断在具体基础设施中的可 exploitation 性。当发现量从数百激增至数千时无上下文优先排序不仅降低效率更会彻底瘫痪流程。第三闭环修复消除人工交接现有模式无法应对漏洞披露数小时内即遭利用的新常态。典型流程扫描器发现漏洞→分析员分类→工单转交其他团队→数周后打补丁→无人复验。这套人工交接链正是系统崩坏处——若从发现到修复再到复验的周期离不开人工转单就永远无法接近机器速度。这并非要求采购更多工具而是发挥防御者唯一不对称优势你掌握组织拓扑而攻击者不掌握。但该优势的发挥前提是能以机器速度行动。自主暴露验证如何弥合差距——Picus的解决方案需要坦诚说明本文作者来自Picus Security——一家专注于自主暴露验证平台的厂商。玻璃翼项目让我们及交流过的众多CISO认清暴露管理程序中的验证环节已成为最关键瓶颈。漏洞发现即将变得极其高效而修补过程仍将缓慢痛苦其间唯一可控杠杆是识别真正关键的漏洞——这正是验证的价值。从四天到三分钟Agentic工作流如何变革周期我们开发的Picus Swarm AI团队将传统四天周期压缩至分钟级。这套AI Agent协同完成了原本需要四个团队交接的工作研究Agent接收并审核威胁情报红队Agent对照环境生成经安全检查的攻击方案模拟Agent在实际终端和云环境执行收集遥测与证据协调Agent衔接发现与修复环节创建工单、触发SOAR方案、推送攻击指标至EDR、验证修复效果所有操作皆可追溯审计各Agent在预设边界内运行。从接收CISA警报到生成可立即修复的验证结果全链仅需三分钟。当Mythos级模型抛出数千发现时你需要能立即判断哪些在特定环境中可 exploitation、现有控制措施能否拦截、以及供应商专属修复方案的系统。令人不安的真相衡量玻璃翼项目的唯一标准将是多少漏洞在被利用前得到修补。无关发现数量或攻击链复杂程度关键在于生态能否消化AI的产出。单纯可见性从来不够——83%网络安全项目仍无实效。改变游戏规则的是弥合发现与实证的差距确认潜在漏洞是否真会危及你的环境。这就是验证的价值。在后玻璃翼时代它将是漏洞洪流与入侵浪潮间的唯一屏障。