Project Glasswing 扩容后，企业做 Claude 安全测试该怎么起步

Anthropic 在 2026 年 6 月 2 日宣布扩大 Project Glasswing。官方给出的数字很具体项目将扩展到大约 150 家新机构覆盖 15 个以上国家而此前首批大约 50 家合作伙伴已经借助 Claude Mythos Preview 在代码库中发现了超过 10,000 个高危或严重级别的安全漏洞。这不是一条普通产品新闻。它传递的信号很明确Anthropic 已经把 Claude 的一部分能力推进到了高风险、高价值的安全场景而且不是停留在实验室演示而是在真实代码库里跑。先把这件事看成安全流程变化技术团队看到这件事最容易产生两个误区。一个误区是觉得“等更强模型开放了再说”另一个误区是直接把模型理解成新的安全扫描器。其实都不对。Project Glasswing 更像是一个高强度验证计划。Anthropic 在公告里说这些新加入的机构需要先满足安全要求才会获得访问权限而且很多组织都属于关键基础设施领域像电力、水务、医疗、通信和硬件。也就是说Anthropic 自己非常清楚这类能力一旦进入生产安全流程收益和风险都很高。企业起步前先补四个基础动作企业如果要起步不应该先追 Mythos Preview而应该先把自己的安全测试流程补齐。至少有四件事要先做。第一明确模型在安全流程里的角色。它更适合作为辅助发现、初步分析、补丁建议和预发布检查的一环而不是单独替代安全团队判断。Anthropic 也提到真正的瓶颈已经转向漏洞验证、披露和修补而不只是发现漏洞。第二把日志和回放能力准备好。安全测试和普通问答不同任何一次分析过程、提示词调整、工具调用记录都可能影响后续复盘。没有留痕的模型试验很难进入正式流程。第三先从公开或低风险代码开始。哪怕模型能力已经很强也不建议一开始就让它碰最敏感的核心系统。可以先在内部工具、测试仓库、历史漏洞复盘上建立评估方法再逐步扩大。第四接入层要尽量统一。安全团队往往不会只测一个模型而是会比较不同模型在误报、漏报、解释质量和补丁建议上的差异。用 147AI 做统一接入会方便一些尤其适合把 Claude 和其他模型拉到同一套测试框架里。但这里必须强调实际调用方式还是要看 147AI 的 API 接口文档尤其要分清原生接口和兼容接口不要把不同协议混着配。建议的试点顺序如果团队现在准备起步我更建议按“历史漏洞复盘 - 低风险仓库扫描 - 补丁建议对比 - 预发布检查”这个顺序往前走。这样能先把误报处理、日志留痕和人工复核的习惯练出来再决定是否扩大范围。最后再下判断Project Glasswing 扩容说明的不是“大家明天都该上 AI 安全扫描”而是下一阶段的工程现实模型会越来越深地参与安全工作。企业真正该做的是先把验证框架和治理动作搭起来再决定让模型接管到哪一步。