Anthropic 在 6 月 2 日把 Project Glasswing 再往外推一階,新增 150 個組織、覆蓋 15 個以上國家。官方說法很直接:這批夥伴會拿到 Claude Mythos,用它去找、驗、修軟體漏洞,目標不是做一次漂亮展示,而是把 AI 變成可持續運作的防禦流程。這件事的關鍵,不在於 Mythos 有多強,而在於它已經被放進一個需要簽核、驗證、修補、回報的真實工作鏈。
Anthropic 自己也把瓶頸講得很明白:一個月內,原本約 50 個合作夥伴加上外部測試,已經找到超過一萬個高或關鍵等級漏洞。數字漂亮,但更刺眼的是另一個事實,修補速度追不上發現速度。官方指出,真正拖慢進度的不是「找不到」,而是人力要花時間去驗證、分流、通報和打補丁。也就是說,AI 把前半段的偵測成本打穿了,後半段的治理和維運才是新的稀缺資源。
這會直接改寫企業買單的方式。過去很多人把 AI 安全想成「買一個更聰明的掃描器」;現在比較像是在買一條完整的供應鏈,裡面要有權限控管、審計紀錄、漏洞分級、補丁驗證、回報 SLA,還要能處理維護者已經被 AI bug report 淹沒的現實。換句話說,未來談 AI security,不只是看模型分數,而是看它能不能嵌進既有的 SOC、DevSecOps 和法遵流程,並且不把團隊的 patch queue 直接擠爆。
對基礎設施產業來說,這一步更敏感。Anthropic 點名 power、water、healthcare、communications 和 hardware 這些過去不太容易被一般模型安全話題掃到的領域,表示 AI 防禦已經進到關鍵服務層。這裡的訊號不是「AI 變得更危險」,而是「AI 開始參與防守側的基礎設施」。當模型能把弱點找得比人更快,下一輪競爭就不會只比模型能力,而是比誰能把發現、驗證、修補、揭露的節奏接起來。
如果把這波變化濃縮成一句話,就是:AI 安全正在從展示功能,變成採購條件。買單的人不再只問模型能不能抓漏洞,而是問這套流程能不能縮短平均修補時間、能不能避免誤報把團隊拖垮、能不能把敏感資料和責任邊界管住。這是很典型的產業成熟訊號,漂亮的 demo 會繼續有,但真正進預算表的,是能讓企業少出事的整套流程。
參考來源
- Anthropic:Project Glasswing: An initial update
https://www.anthropic.com/research/glasswing-initial-update
- CNBC:Anthropic expands Mythos to 150 additional organizations in more than 15 countries
https://www.cnbc.com/2026/06/02/anthropic-mythos-ai-project-glasswing.html