随着强大AI的出现,开源软件的漏洞发现与应对进入了新的阶段。美国Anthropic公司利用其AI模型“Claude Mythos Preview”对开源软件进行漏洞扫描,发现了多达23,019个潜在漏洞,但人工确认和修复工作远远跟不上,暴露出严重的人力瓶颈问题。
这一情况由Anthropic于5月22日(当地时间)发布的报告中披露。该公司自2026年2月起,开始使用Mythos Preview早期版本对开源项目进行漏洞探索,涵盖了nginx、jq、MapServer、wolfSSL等多个重要项目。
针对AI检测出的漏洞,Anthropic与外部安全调查机构合作,根据漏洞紧急程度进行优先级排序,经过人工审核后,将重大和高风险漏洞报告给软件维护者。部分漏洞还由Anthropic直接向维护者通报。
截至5月22日,已向281个项目报告了1,596个漏洞(其中包含部分误报)。其中1,451个漏洞获得维护者确认,但实际提供修复补丁的仅有97个,且88个漏洞已分配了CVE(公共漏洞和暴露)或GHSA(GitHub安全咨询)编号。
AI发现的漏洞数量远超公开披露数量,主要原因在于独立人工的筛选和审核流程成为瓶颈。此外,补丁开发耗时较长,导致漏洞修复进度缓慢。
Claude Mythos Preview是Anthropic迄今最强大的AI模型,于2026年4月7日发布。出于防止被恶意利用进行网络攻击的考虑,该模型暂不对外公开。
