Anthropic 在 6 月 2 日宣布扩展 Project Glasswing。官方介绍称早期约 50 个合作伙伴使用 Claude Mythos Preview 扫描代码库已经发现超过 10,000 个高危或严重级别安全缺陷。现在项目扩展到约 150 个新组织这些组织来自 15 个以上国家很多与关键基础设施相关。这个选题适合安全和开发团队一起看。发现漏洞只是第一步AI 用于代码安全最容易被关注的是“发现了多少漏洞”。但工程落地时更重要的是漏洞之后怎么处理。模型扫描出问题后要能回答几件事漏洞在哪个仓库证据是什么严重程度怎么判断修复建议是否可执行谁来复核是否进入工单系统。如果这些流程没有接上AI 扫描结果很容易变成另一堆待处理噪音。接入层要记录什么企业如果用 Claude 做安全扫描建议至少记录repo branch model scan_type finding_id severity evidence patch_suggestion reviewer review_status不要只保存模型输出文本。安全问题需要证据、复核和完整处理链路。模型能提供线索但不能直接替代安全负责人。对开发团队来说还要把安全扫描和 CI/CD 区分开。不是每一次模型提示都要阻断发布。可以先把高可信度问题进入人工复核低可信度问题进入观察队列。等历史数据够多再考虑更自动化的策略。如果团队已经有 SAST、依赖扫描或代码审计流程Claude 更适合先作为补充层。让它解释已有告警、补充上下文、生成修复建议而不是立刻替换现有工具。这样更容易被安全团队接受。147AI 的位置如果团队想比较 Claude、GPT 或其他模型在安全审查、代码解释、补丁建议上的表现147AI 可以放在统一 API 入口层。同一批历史漏洞样本用不同模型跑一遍记录误报、漏报、修复建议质量和成本。具体接口配置按 147AI 的 API 接口文档来Claude 原生 Messages 和 OpenAI 兼容接口不要混用。工程建议先从低风险代码库或历史漏洞回放开始不要一上来让模型直接改生产代码。AI 安全扫描有价值但真正能落地的是“扫描、证据、复核、修复、回归”这一整套流程。