Project Glasswing 初步更新：AI 漏洞发现要先建分诊队列

这篇解决什么

AI 安全扫描会把漏洞发现速度推高，真正的瓶颈会落到分诊、复现、披露、补丁验证和风险沟通。团队需要把新增线索先变成可排序的修复队列。

适合谁

适合安全负责人、开源维护者、平台工程师和需要接入 AI 漏洞扫描的团队。

操作步骤

1. 把扫描结果按项目、组件、严重度和可利用性入表
2. 要求每条线索有复现环境、最小触发条件和影响范围
3. 先处理暴露面广、权限高、补丁路径清楚的项
4. 给维护者准备复现材料和回归测试
5. 补丁合并后保留验证记录和披露状态
6. 每周复盘误报、重复项和修复阻塞原因

可复制模板

漏洞线索：
组件：
严重度：
复现材料：
影响范围：
维护者联系人：
修复状态：
验证命令：

验收清单

• 线索已去重
• 复现材料完整
• 优先级可解释
• 披露路径清楚
• 补丁后有回归验证

常见错误

• 只收藏产品更新，没有把它改成当天能执行的工作卡。
• 只看发布标题，没有确认账号权限、适用版本、成本和数据边界。
• 把 AI 自动化结果直接当结论，没有保留人工复核和失败恢复动作。
• 外部链接散落在聊天记录里，后续复查时找不到来源和日期。

30 分钟小样本

先选一个真实但低风险的任务。前 5 分钟写清输入材料和目标产物；中间 15 分钟按本文步骤执行一次；最后 10 分钟记录输出、人工修改量、失败点和下一次复用条件。小样本通过后，再扩展到团队模板或固定 SOP。

复用方式

第一次执行时，把它当成个人操作卡；第二次执行时，把成功步骤整理成团队模板；第三次执行时，再判断是否值得升级成固定 SOP、工具页或培训材料。每次复查都要看官方页面是否改版、权限或价格是否变化、原来的示例是否还能跑通。

资料依据

• Anthropic / Project Glasswing: An initial update / 2026-05-22

标签