Project Glasswing 更新后：安全团队要先算补丁吞吐

这篇解决什么

当 AI 能批量发现漏洞，团队如果只关注发现数量，会忽略补丁能力。缺少吞吐表时，高危线索会堆积，维护者也难以知道先修哪一个。

适合谁

适合安全响应团队、开源维护者、平台工程和企业风险管理人员。

操作步骤

1. 把每条线索按组件、严重度、暴露面和复现状态入队
2. 区分待复现、待维护者确认、待补丁、待回归四个阶段
3. 为高危项指定负责人和截止时间
4. 把误报、重复项和依赖阻塞单独统计
5. 每周计算发现速度与修复速度差值
6. 把吞吐缺口转成加人、降级或外部协作决策

可复制模板

漏洞编号：
组件：
严重度：
复现状态：
当前阶段：
负责人：
阻塞原因：
关闭证据：

验收清单

• 队列字段完整
• 阶段清楚
• 负责人明确
• 吞吐差值已算
• 关闭证据可复查

常见错误

• 只收藏产品更新，没有把它改成当天能执行的工作卡。
• 只看发布标题，没有确认账号权限、适用版本、成本和数据边界。
• 把 AI 自动化结果直接当结论，没有保留人工复核和失败恢复动作。
• 外部链接散落在聊天记录里，后续复查时找不到来源和日期。

30 分钟小样本

先选一个真实但低风险的任务。前 5 分钟写清输入材料和目标产物；中间 15 分钟按本文步骤执行一次；最后 10 分钟记录输出、人工修改量、失败点和下一次复用条件。小样本通过后，再扩展到团队模板或固定 SOP。

复用方式

第一次执行时，把它当成个人操作卡；第二次执行时，把成功步骤整理成团队模板；第三次执行时，再判断是否值得升级成固定 SOP、工具页或培训材料。每次复查都要看官方页面是否改版、权限或价格是否变化、原来的示例是否还能跑通。

资料依据

• Anthropic / Project Glasswing: An initial update / 2026-05-22

标签