Project Glasswing 扩展后,AI 安全扫描不能只看发现漏洞

Anthropic 在 6 月 2 日宣布扩展 Project Glasswing。官方介绍称,早期约 50 个合作伙伴使用 Claude Mythos Preview 扫描代码库,已经发现超过 10,000 个高危或严重级别安全缺陷。现在项目扩展到约 150 个新组织,这些组织来自 15 个以上国家,很多与关键基础设施相关。

这个选题适合安全和开发团队一起看。

发现漏洞只是第一步

AI 用于代码安全,最容易被关注的是"发现了多少漏洞"。但工程落地时,更重要的是漏洞之后怎么处理。

模型扫描出问题后,要能回答几件事:漏洞在哪个仓库,证据是什么,严重程度怎么判断,修复建议是否可执行,谁来复核,是否进入工单系统。

如果这些流程没有接上,AI 扫描结果很容易变成另一堆待处理噪音。

接入层要记录什么

企业如果用 Claude 做安全扫描,建议至少记录:

text 复制代码
repo
branch
model
scan_type
finding_id
severity
evidence
patch_suggestion
reviewer
review_status

不要只保存模型输出文本。安全问题需要证据、复核和完整处理链路。模型能提供线索,但不能直接替代安全负责人。

对开发团队来说,还要把安全扫描和 CI/CD 区分开。不是每一次模型提示都要阻断发布。可以先把高可信度问题进入人工复核,低可信度问题进入观察队列。等历史数据够多,再考虑更自动化的策略。

如果团队已经有 SAST、依赖扫描或代码审计流程,Claude 更适合先作为补充层。让它解释已有告警、补充上下文、生成修复建议,而不是立刻替换现有工具。这样更容易被安全团队接受。

147AI 的位置

如果团队想比较 Claude、GPT 或其他模型在安全审查、代码解释、补丁建议上的表现,147AI 可以放在统一 API 入口层。

同一批历史漏洞样本,用不同模型跑一遍,记录误报、漏报、修复建议质量和成本。具体接口配置按 147AI 的 API 接口文档来,Claude 原生 Messages 和 OpenAI 兼容接口不要混用。

工程建议

先从低风险代码库或历史漏洞回放开始,不要一上来让模型直接改生产代码。

AI 安全扫描有价值,但真正能落地的是"扫描、证据、复核、修复、回归"这一整套流程。

相关推荐
触底反弹35 分钟前
🔥 前端也能玩转 AI 流式输出!从二进制流到打字机效果,一篇讲透
javascript·人工智能·node.js
腾渊信息科技公司37 分钟前
工业数据运维痛点根治方案:基于AI Agent的产线自动化台账系统落地
运维·人工智能·自动化·个人开发·ai编程
西安老张(AIGC&ComfyUI)39 分钟前
第030章:ComfyUI视频制作LTX-2.3模型文生视频工作流详解(三)
人工智能·aigc·comfyui
苦猿的大模型日记1 小时前
Day25 | 模型量化横评 GPTQ vs AWQ vs GGUF vs INT8——同一个 Qwen3-8B 压四遍,谁还活着
人工智能
benchmark_cc1 小时前
如何用 Python + QuantDash 快速构建高胜率“配对交易(Pairs Trading)”策略?
开发语言·人工智能·python·pandas·量化交易·quantdash
深海鱼肝油ya1 小时前
小说自动生成系统(二)
人工智能·大模型·agent·智能体·自动化编程·小说生成系统
通问AI2 小时前
Apple Intelligence 国行备案深度技术解析:阿里千问如何被集成到苹果端侧AI架构
人工智能·架构
视***间2 小时前
算力赋能零售与创意新生态:视程空间Pandora,解锁线下场景智能化无限可能
人工智能·边缘计算·智慧零售·ai算力·视程空间·创意开发
冬奇Lab2 小时前
MCP 系列(08):企业治理——Registry、路由与可观测性
人工智能·llm·mcp
冬奇Lab2 小时前
每日一个开源项目(第161篇):Open Interpreter - 开源 AI 编程 Agent,用 Rust 重写,支持 Kimi、Qwen、DeepSeek
人工智能·开源·资讯