AI 提高了防守者发现漏洞的能力，也会提高攻击者利用漏洞的速度。软件供应链安全不能再只靠事后补丁。

Project Glasswing 值得关注，不是因为它又提出了一个安全项目名称。

真正重要的是它背后的判断：强模型开始改变安全攻防的速度。

Anthropic 这次不是只发一篇安全宣言，而是把 AWS、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、Palo Alto Networks 等合作方拉进同一套防御计划，并承诺最高 1 亿美元 Mythos Preview 使用额度和 400 万美元开源安全捐赠。这个分发动作，比项目名称本身更值得看。

过去，复杂漏洞的发现、验证和利用，需要大量专家时间。现在，模型能力越强，自动化分析、代码理解、漏洞定位和利用链生成的门槛就越低。

这对防守者是机会，对攻击者也是机会。

Agent 时代的安全问题更像系统问题

很多人讨论 AI 安全，容易聚焦在模型会不会输出危险内容。

但软件供应链安全更现实。

一个 Agent 一旦接入代码仓库、依赖管理、CI/CD、云资源和发布系统，它就进入了真实工程链路。

这时风险不再只是“回答错了”，而是：

• 错误修复被合入主干；
• 依赖升级引入新的攻击面；
• 自动化脚本修改敏感配置；
• 漏洞扫描结果被误判或忽略；
• 攻击者用同样的 AI 能力加速挖掘零日。

这要求安全治理前置到开发链路里。

Defender-first 不是口号，而是分发机制

如果强模型能帮助发现复杂漏洞，那么一个关键问题是：这些能力应该先给谁用？

Project Glasswing 的核心启发是，安全能力不能只停留在模型厂商手里，也不能等攻击者先把能力产品化。

更合理的方向是让开源维护者、安全团队和关键基础设施项目更早获得防守工具。

这也是我不把 Glasswing 写成“模型多强”的原因。真正关键的是防守能力的分发顺序：先给关键基础设施、开源维护者和防守团队用，先把漏洞发现、报告、修补和披露流程跑起来，再谈更广泛的能力扩散。

这需要三类机制：

• 验证机制：确认使用者是合法安全研究或维护者；
• 审计机制：记录模型在安全任务中的关键操作；
• 反馈机制：让漏洞发现、修复和披露形成闭环。

Agent 接入供应链时，权限必须最小化

生产里最危险的设计，是把 Agent 当成一个全权限工程师。

更稳的做法是分层授权：

• 读代码和读依赖是低风险；
• 生成补丁是中风险；
• 提交 PR、修改 CI、发版是高风险；
• 接触密钥、生产环境和供应链签名必须强审批。

模型越强，越不能靠“相信它不会乱来”来做安全设计。

先给结论

Project Glasswing 提醒我们：AI 安全不是模型厂商自己的问题，而是整个软件供应链的问题。

当 AI 能更快发现漏洞，也能更快放大攻击能力时，企业要补的不是一个扫描工具，而是一整套前置治理能力。

Agent 可以参与安全，但必须被放进权限、审计、验证和人工接管组成的系统里。

参考资料：

• https://www.anthropic.com/glasswing

为什么软件供应链会先受到冲击

AI 攻防最容易落地的地方，不是科幻式的“完全自动黑客”，而是软件供应链。

原因很简单。

软件供应链有大量结构化材料：源码、依赖清单、提交记录、CI 配置、镜像、漏洞公告、补丁 diff。

这些东西非常适合模型阅读、归纳、比对和生成候选修复。

防守者可以用 AI 找漏洞，攻击者也可以用 AI 找漏洞。

真正的变化是速度。

过去一个复杂漏洞可能需要安全专家花很久复现。未来模型可以帮人快速定位可疑路径、生成 PoC 思路、解释依赖影响范围。

这不代表人不重要，而是攻防节奏会变快。

企业应该怎么准备

第一，先做资产清单。

不知道自己用了哪些依赖、哪些镜像、哪些内部包，就谈不上供应链安全。

第二，把 AI 安全工具放进现有 DevSecOps 流程。

不要让它成为一个孤立的“智能扫描按钮”。更好的位置是在 PR、依赖升级、镜像构建和发布审批环节。

第三，把修复建议和验证绑定。

AI 给出的补丁不能直接合入。它至少要经过测试、静态分析、人工 review 和必要的回归验证。

第四，把高风险动作隔离。

Agent 可以读代码、生成建议、创建 PR，但不应该默认拥有发布、签名和生产写权限。

不要把它写成恐慌叙事

Glasswing 很容易被讲成“AI 黑客来了”。

这种叙事刺激，但会遮住更重要的工程问题。

更准确的判断是承认两面性：

• AI 会提高攻击者效率；
• AI 也会提高防守者覆盖面；
• 关键是安全能力如何优先分发给维护者；
• 企业如何把 AI 放进可审计的安全流程。

这样文章会更稳，也更符合技术读者的预期。

真正需要警惕的，不是某个模型突然变危险，而是攻防双方都获得了更高效率。

如果企业仍然用过去的补丁节奏、依赖治理和发布审批来面对新的攻防速度，就会被动。

开源维护者需要不同的支持方式

软件供应链里最脆弱的一环，往往不是大公司内部系统，而是大量关键开源项目。

很多项目维护者没有完整安全团队，却承担了大量下游依赖。

如果 AI 安全能力只服务大公司，供应链风险仍然会从开源侧传导到整个生态。

因此，类似 Glasswing 的项目如果要真正有价值，应该帮助维护者做几件事：

• 更快理解漏洞影响范围；
• 更低成本验证补丁；
• 更清楚地生成安全公告；
• 更稳地处理披露和回归；
• 更容易和下游用户沟通升级路径。

这比单纯发布一个强扫描工具更重要。

最后一个判断

Agent 时代的软件供应链安全，不会只靠更强模型解决。

它需要资产管理、权限控制、审计、补丁验证和披露流程共同升级。

模型只是加速器，系统才是安全边界。