Anthropic 在 6 月 2 日宣布扩展 Project Glasswing。官方介绍称,早期约 50 个合作伙伴使用 Claude Mythos Preview 扫描代码库,已经发现超过 10,000 个高危或严重级别安全缺陷。现在项目扩展到约 150 个新组织,这些组织来自 15 个以上国家,很多与关键基础设施相关。
这个选题适合安全和开发团队一起看。
发现漏洞只是第一步
AI 用于代码安全,最容易被关注的是"发现了多少漏洞"。但工程落地时,更重要的是漏洞之后怎么处理。
模型扫描出问题后,要能回答几件事:漏洞在哪个仓库,证据是什么,严重程度怎么判断,修复建议是否可执行,谁来复核,是否进入工单系统。
如果这些流程没有接上,AI 扫描结果很容易变成另一堆待处理噪音。
接入层要记录什么
企业如果用 Claude 做安全扫描,建议至少记录:
text
repo
branch
model
scan_type
finding_id
severity
evidence
patch_suggestion
reviewer
review_status不要只保存模型输出文本。安全问题需要证据、复核和完整处理链路。模型能提供线索,但不能直接替代安全负责人。
对开发团队来说,还要把安全扫描和 CI/CD 区分开。不是每一次模型提示都要阻断发布。可以先把高可信度问题进入人工复核,低可信度问题进入观察队列。等历史数据够多,再考虑更自动化的策略。
如果团队已经有 SAST、依赖扫描或代码审计流程,Claude 更适合先作为补充层。让它解释已有告警、补充上下文、生成修复建议,而不是立刻替换现有工具。这样更容易被安全团队接受。
147AI 的位置
如果团队想比较 Claude、GPT 或其他模型在安全审查、代码解释、补丁建议上的表现,147AI 可以放在统一 API 入口层。
同一批历史漏洞样本,用不同模型跑一遍,记录误报、漏报、修复建议质量和成本。具体接口配置按 147AI 的 API 接口文档来,Claude 原生 Messages 和 OpenAI 兼容接口不要混用。
工程建议
先从低风险代码库或历史漏洞回放开始,不要一上来让模型直接改生产代码。
AI 安全扫描有价值,但真正能落地的是"扫描、证据、复核、修复、回归"这一整套流程。