扩展 Project Glasswing

Project Glasswing / Mythos rollout 的总体看法

  • 许多人认为,这种有限访问的扩展是经典的稀缺性/紧迫性营销手法,目标是大型企业和政府,从而把 Anthropic 巩固为“关键基础设施”。
  • 也有人认为,考虑到网络滥用风险以及修补所需时间,这种受限发布看起来像是真正负责部署的尝试。
  • 还有人认为,“太强大而不能发布”的说法呼应了过去的 AI 安全营销(例如之前的 GPT 发布)。

能力与炒作

  • 支持性的评论援引了第三方解读(例如 Mozilla、Cloudflare、wolfSSL、政府基准测试),声称 Mythos 能发现许多真实的高严重性漏洞,并能将漏洞串联成可工作的利用链。
  • 持怀疑态度的评论者强调:
    • 依赖复杂的“harnesses”和工作流,而不是模型本身的独特魔力。
    • 基准测试不可复现,或者是经过挑选的。
    • 其他强模型(例如 GPT‑5.5‑Cyber、开权重集成)在能力上也很接近。
  • 有人指出,Mythos 似乎主要是在放大熟练人类的能力,而不是自主地全面超越顶尖专家,这与一些营销措辞相矛盾。

实际体验与误报

  • 有访问权限的组织反馈描述:
    • 发现结果数量巨大,其中许多是轻微问题、不适用问题或误报。
    • 高管会对每个被标记的问题都反应过度,造成混乱和忙碌但无效的工作。
    • 其价值主要体现在多阶段流水线中,结合去重、PoC 生成和人工分诊使用时。
  • 也有人报告,日常使用 Claude/Opus 进行安全和性能审计效果不错,但噪声仍然相当大。

算力约束与商业激励

  • 一派认为 Anthropic 受算力限制,并以安全为掩护,尤其考虑到 Mythos 的高 token 成本和即将到来的 IPO。
  • 反方观点:
    • Anthropic 近期已经新增了大规模算力合同。
    • 从理论上说,他们可以通过提高价格来配额式限制访问。
    • 目前还不清楚,限制发布的主要原因到底是安全、容量、定价观感,还是 IPO 信号传递。

更广泛的安全、内存安全与 OSS 影响

  • 讨论延伸到:
    • 社会工程风险,以及未来强身份验证 / FIDO 密钥可能成为强制要求的情景,这可能以牺牲以人为中心的支持体验为代价。
    • 使用 AI(以及 Rust 重写)来改善内存安全;也有人担心这类重写难以维护、对 OSS 社区不尊重,并可能引入新的逻辑错误。
    • 担忧基于 LLM 的扫描会向团队灌入大量告警,改变责任预期,并让“AI 说这是漏洞”变成管理层压力,而不一定真正提升现实世界的安全性。