Project Glasswing：AI 安全竞赛开始从进攻转向防守

今天 Hacker News 上最值得认真对待的内容，不是某个炫目的 demo，而是 Anthropic 发布的 Project Glasswing。表面上看，这像是一次联合倡议，拉上 AWS、Apple、Google、Microsoft、NVIDIA、Linux Foundation 这些大公司，一起用新模型去扫描关键软件和开源基础设施。可如果往下看一层，会发现它真正释放的是一个更重要的信号：AI 在网络安全里的角色，正在从"辅助研究工具"变成"必须纳入国家级和基础设施级防御流程的能力"。

Anthropic 这次最重的话，不是说模型更会写代码了，而是直接说他们观察到的新前沿模型，已经在找漏洞和构造利用这件事上，超过了绝大多数人类安全研究员。他们甚至把问题讲得很直白：一些漏洞已经藏了十几年、二十几年，经历过无数人工审查和自动化测试，却还是被模型挖了出来。像 OpenBSD、FFmpeg、Linux kernel 这种被反复打磨过的系统，依然能被模型从深处翻出旧伤，这件事本身就说明安全行业原来的节奏已经不够了。

我觉得 Glasswing 真正值得写，不是因为它证明某家公司模型最强，而是因为它让一种原本还停留在"趋势判断"的事，变成了组织层面的现实。过去大家谈 AI 安全能力时，常常会分成两派。一派觉得这只是效率工具，能帮安全工程师多省点力；另一派担心它会放大攻击者能力，但又总觉得距离真正大规模改变局势还有点时间。现在这两种说法，都开始显得太温和了。更接近现实的描述可能是：攻击和防守两边都已经进入一个新的自动化时代，而防守方再不升级工作方式，就会在扫描速度、覆盖范围和迭代周期上同时落后。

这背后最根本的变化，是"发现漏洞"这件事正在失去过去那种稀缺性。以前高质量漏洞挖掘之所以稀缺，不只是因为代码难读，更因为它需要很强的耐心、经验和跨模块联想能力。你要理解系统边界，要知道哪些历史包袱最可疑，要能把一个不显眼的异常一路顺藤摸瓜摸到 exploit 链条。现在前沿模型正在把这部分能力商品化、自动化、批量化。它们不会完全替代顶尖研究员，但已经足够把很多过去只属于少数人的工作，推进到大规模机器参与的阶段。

这会把安全行业的竞争重点彻底改掉。以后真正关键的问题，可能不再是谁家有能力偶尔挖出一个惊艳的 0day，而是谁能把这种能力变成持续运转的防守系统。能不能把模型嵌进代码审计流程，能不能让它长期扫描关键依赖，能不能在发现问题后快速完成验证、上报、修复和回归，能不能覆盖开源生态里那些没人维护、却被无数系统依赖的薄弱点。这些东西听起来没有"模型发现了某个二十年老漏洞"那么好讲故事，但它们才是真正决定现实安全收益的地方。

所以 Glasswing 最有意思的地方，恰恰是它不像一个普通模型发布。它更像一个防守联盟的雏形。Anthropic 一边提供高额 credits 和工具能力，一边把大公司、基础设施维护者和开源安全组织拉到同一张桌子上。这里面当然有商业和品牌考量，但也确实揭示了一件事：当攻击面足够大，而 AI 能力提升又足够快时，单个组织已经很难独自承担防守升级成本。开放源码生态尤其如此。很多真正关键的软件，不在大厂营收表里，却承受着整个互联网的信任重量。AI 如果只先武装了攻击者，而没有同时武装这些维护者，那就是把旧有的不对称放大。

这也是为什么我觉得今天这件事不能只按"安全新闻"来看，它其实还是一条关于平台和基础设施权力重新分配的新闻。谁拥有最强的漏洞发现模型，谁就不只是拥有一个更好的产品能力，而是在一定程度上拥有了定义安全节奏的权力。哪些漏洞先被发现，哪些系统优先被扫描，哪些合作方优先获得能力，哪些开源项目得到补丁支持，这些决定都会慢慢变成新的结构性影响力。

当然，这里面也有一个不太舒服的现实。防守和进攻用的是同一种能力。一个模型如果已经足够强到能大规模发现并串联利用漏洞，那它天然就兼具双重用途。行业现在能做的，不是幻想把这种能力永远锁在实验室里，而是尽量让防守端先把组织能力搭起来，先把最关键的系统扫一遍、补一轮、建立更高频的修复机制。说得直白一点，AI 安全时代真正的优势，不会来自"没有人拥有危险能力"，而会来自"防守方能不能比攻击方更早把危险能力制度化"。

所以今天 Glasswing 真正让我记住的一句话，不是某个 benchmark 数字，而是它传达出的那种紧迫感。安全行业过去常说要 shift left，把问题更早发现、更早修掉。现在 AI 把这件事又往前推了一大步。以后谁能活下来，不只是因为它会修 bug，而是因为它学会了让机器比攻击者更早把 bug 找出来。