爱吱声

标题: 玻璃之翼降临——Glasswing计划与Claude的Mythos Preview [打印本页]
作者: xiejin77    时间: 2026-4-9 07:45
标题: 玻璃之翼降临——Glasswing计划与Claude的Mythos Preview
玻璃之翼降临——Glasswing计划与Claude的Mythos Preview
, y4 i0 t, V* X+ x
; \8 [6 V/ ~6 G$ E9 c$ g
# ]; U: u0 a# ]  r% W, l2 Y一个预览版的AI大模型刚刚挖出了一个尘封27年的漏洞,然后11家科技巨头都坐不住了……! n& U! v% X4 m

+ B5 ~$ j' h& \, ^3 L故事是这样的。/ V0 z# t* J% W6 e( p2 g

; A; m6 C  p& w" m我今天看到这个新闻,看完之后愣了好几秒。
$ E6 X* N  B4 K* G, F9 w
+ T9 }4 F# x" b% `一家叫OpenBSD的公司——做操作系统的,算是安全领域的老前辈——他们有一个漏洞,在代码里躺了整整27年。1998年写进去的,没人发现。/ D, E! _1 q7 {

+ M. g/ O- V8 F+ F结果被一个AI模型给挖出来了。4 e$ L; S; f9 ?, w& p' U" c% C) X- R+ G

0 U$ S5 c' I* H) q" p这肯定不是那种"我们用AI扫了一下代码库发现了问题"的挖出来。而是那种"这个漏洞藏在最核心的地方,所有传统工具都扫过5百万次,一次都没报过警"的条件下挖出来。6 i8 a& r& X- d: Y9 O1 w

! ]2 f3 h0 q7 F0 b; }: j然后,这个AI模型,顺手还把FFmpeg里一个16年的漏洞也给挖了。
0 h& ^4 R2 `  c+ I  n  p8 C* K3 }! F) k" q) m
FFmpeg,音视频处理领域最最最核心的基础设施。全世界的视频播放器、浏览器、直播平台,有几个不是建立在FFmpeg之上的?这个漏洞在里面藏了16年。5百万次自动化测试,没一次报过警。/ U! }/ b6 [2 K5 W2 U+ p

# r, N) O% w$ k然后呢?) O. k) c# M+ o
" }9 R4 _  }2 k% I
然后,11家全球最大的科技公司——Google、Microsoft、Apple、NVIDIA、CrowdStrike、JPMorganChase、Google等等——坐下来,说了一句话:我们一起出钱,让这个AI模型,能被全世界的安全研究员用上。
+ D0 j- d- V9 J6 }; p
/ \% R+ l3 f$ N5 z! q这个项目,叫Glasswing。
8 ^" v% `( {4 E6 l$ ]2 }5 K% P9 B- P' q# Q+ ?0 H) ^# Y9 u
glasswing5 c+ D  a. T8 S) V. x  J/ S

# C. x+ X; p8 [# Y
8 a6 [/ t3 A, v" w9 d. m) ?先说清楚Glasswing是什么。
/ d9 n: ^0 S7 ]  h3 ^4 H+ c" F: g$ |" b5 [6 N9 [. q# |( S
简单说,它是一个AI安全联盟。发起方是Anthropic,加入方是一堆哪怕是不关注技术领域也叫得出名字的科技巨头。它的核心,是一个叫Claude Mythos Preview的模型——注意是Preview(预览版),就是还没正式发布的那个版本——专门训练来挖漏洞的。
3 m4 C- a1 l$ I8 W5 Q
0 l6 c( m9 P( V# |( P有多强呢?" j$ Z1 x# j1 `! K. s" c7 |. V

4 W* p+ D' D  Y0 A1 Q/ b* K/ nCyberGym基准测试,83.1%。作为对比,Claude Opus 4.6,得分是66.6%。不是Claude Opus 4.5,是Claude Opus 4.6,Anthropic目前最强模型。
* p& [/ d* b. x8 c
! W$ `5 ]( J0 \: Q4 g1 RSWE-bench Verified,93.9%。还是SWE-bench Verified,不是那个容易一点的版本。Claude Opus 4.6是80.8%。! q" m3 ~; d' y: k3 O$ O$ e
! W' |. l0 m/ W, c9 T6 [: L5 B
差了13个百分点。& C' n- ]- s7 q: e( Q

7 n5 ]% w! Q" f! G/ y7 a你说这13个百分点意味着什么?
/ K7 j. N, ]8 ], m1 U4 W5 r* C1 G; X2 H2 _5 s3 n4 z
意味着,传统扫描工具漏掉的那些最刁钻的漏洞——那些藏在层层调用关系里、藏在异常分支里、藏在并发边界条件里的漏洞——Mythos Preview能找到。2 C/ K, R$ y; s" h

: P) Z$ o8 e. Y+ e5 g0 m意味着,27年的OpenBSD,16年的FFmpeg,以后可能不会再有了。6 j/ T. o7 f( Y9 q% E' z. G

, h, X, w: }( g4 g# u' m- E9 n0 G或者说,这种级别的漏洞发现速度,会比以前快几个数量级。5 B  x& I$ z+ t0 w6 N3 L

" G/ [' z! t. ^3 r# J. H, l说到这个OpenBSD的漏洞,我必须展开讲一下,因为这个例子太有意思了。9 |4 Z, W5 f/ y( i% }0 M" I
2 i- ?  q; T# d2 ^
OpenBSD是个什么存在?' l/ c- N5 `8 U$ d2 ]1 Y# L
! s# Y" l6 I( K3 q/ T
它是BSD操作系统的一个分支,最核心的设计哲学就是安全。代码审计之严格,在整个开源社区都是有名的。很多安全研究员的信仰级操作系统。. ^' T' V9 B2 t; D, p( a* d

. ~* q& m3 ~! ~* M这样的项目,代码审计了多少年了?二十多年。8 m1 }1 J0 R0 o$ W/ M. d) p( Q# \8 E

' {( ]& w5 Y  A然后,一个漏洞,在里面躺了27年。( t7 Y) `1 P. {+ F$ O) L5 Q/ _/ @

. p  p2 N) Z: ~/ N$ T  a这说明什么?
' l; ]1 O: f4 Q. s6 T
; T" p3 F6 R+ d1 L6 D' k: \不是OpenBSD的人不行,是传统的审计方式有盲区。任何人工审计,只要时间足够长、人足够累、代码足够复杂,就一定会有漏洞漏过去。这是人性的边界,不是能力的边界。
, [) L8 C% Q! G. V  L6 i3 \' K# F9 l2 _' h' Y% |
但AI不一样。AI不会累。AI不会因为审了三个月之后注意力下降。AI可以在几个小时之内,把整个代码库的所有调用路径、所有边界条件全部穷举一遍。
: ]. Q& T$ C) m5 g9 F0 L1 e! D0 A: S
% Z( m6 b  _1 }8 JMythos Preview发现的那个OpenBSD漏洞,是一个本地权限提升漏洞。攻击者如果已经拿到了一点点访问权限,可以利用这个漏洞进一步提升到root权限。1 t; j0 B* y, a6 f

1 t+ d6 N* ]+ b" [这种漏洞可怕在哪?3 H& y7 O2 ]- M0 `* t, ^
0 z- ~4 I8 h0 K
它不显眼。它不是那种"输入框里填个单引号就弹shell"的漏洞。它需要你对系统有相当深的理解,才能构造出触发条件。. b' y& R! `' n

) S5 ~& C% X# w2 {  w" O8 S, M传统扫描工具扫不出来,是因为它的payload模式不在规则库里。AI不一样,AI学的是语义理解,它不是匹配特征,它是理解代码在"想什么"。
9 U1 J  ~+ S" c: @" E$ }& @1 {/ ~& U6 k$ Q: \
FFmpeg那个例子更让我震撼。- \3 R  R! Y0 r! [4 j

, ~4 R7 y, ^, [+ G16年。
3 H8 @- m7 ?5 B. I* k$ l" V% e
0 N0 g2 P# N) Y9 j! WFFmpeg上一次发现这种级别的漏洞是什么时候?2009年。
" p0 M0 J8 _1 Y+ ^1 k9 u$ x$ M# @/ B
16年都没有人发现。然后Mythos Preview扫了一下,找到了。" ~5 K, B6 T# O+ ^
# j+ b3 U0 k  x
注意这个"扫了一下"的背景。SWE-bench测试集里,有大量是真实世界里的bug修复历史。FFmpeg这个bug在历史上真实存在过,是某次修复的时候被记录下来的。这意味着,Mythos Preview不仅能做代码审计,它能做的是:从海量代码里,识别出"这个写法有问题,即使目前还没有人报告过"。
$ {& Q$ Z1 c6 ^- }% d% \1 h6 q7 g8 Z8 M$ [: Q* w- y9 P
这是主动防御,不是被动响应。4 q5 Z. s5 L6 U& B5 ?6 X
" `+ S- j. T( Q# {/ |$ O
传统安全的方式是:出了事 → 分析样本 → 提取特征 → 更新规则库 → 下次能识别。
1 b$ C5 d; O8 n0 C* t& o7 Z0 \: q  k+ E0 K! I
AI安全的方式是:不需要样本。直接读代码,告诉你这里有个洞。
9 Z! E5 }! c( s1 f9 P3 X# L/ {7 K% E: x# t0 t$ d; z' Y6 t% t
这两者之间的差距,大概就是"等贼来了再装防盗门"和"在盖楼的时候看着图纸就告诉你这堵墙扛不住地震"的差距。! P. I& a. q- @" c! S

" ~% Z+ H1 i' K$ Y, k现在说说大家最关心的问题:谁能用到,怎么用,花多少钱。
! B5 N# v" Q% p* b
, u* p. k' w, `' {Glasswing的AI能力,现在跑在三个平台上:Amazon Bedrock、Google Vertex AI、Microsoft Foundry。
  F7 f* K+ n% b; {8 Y9 @$ I) o7 A  L# s2 F
这三个平台,恰好是AWS、Google Cloud、Azure。全球三大云服务商。
1 @& Y& x7 E/ N; Z$ }) M6 h8 r" t* n# s+ D: d# O' W" O# T
你在任何一个上面,都能调用Mythos Preview的漏洞检测能力。2 y9 S; \& _/ Y

# J& F- E, U1 x2 J- K6 J* p8 |价格呢?过了初始的credits之后,每百万token输入25美元,每百万token输出125美元。
+ O  y2 U6 S4 \: k4 ?3 `) s% Z1 @3 K2 r$ h' e; n- S. c
这个价格贵不贵?4 r0 ]$ k+ p9 f2 ?/ }& G
% b0 Z8 \8 ?( {* \
对比一下就知道了。现在市面上做代码安全扫描的工具,像Snyk、Veracode这一类,商业扫描工具的报价大概是每个开发者每个月几十到几百美元不等。而且它们扫的是规则匹配,不是语义理解。
; ^8 p3 L/ e! B% Z' W1 S0 J; ~2 e3 _- h  E  c1 c# P
Mythos Preview能发现那些工具发现不了的漏洞。
7 [- S+ Z' j/ A5 w5 }* `' R. N% l1 w
这不是贵不贵的问题了,这是"有没有意识到你以前省的那些钱其实在交更多的学费"的问题。
6 X$ X& P0 O7 E! c' ^, L5 @( |
8 T8 k' P, H8 p另外,Anthropic自己掏了1个亿美元的使用额度,分给联盟成员和开源社区。还额外捐了400万,250万给Alpha-Omega/OpenSSF,150万给Apache软件基金会。
, y2 D0 I1 M& ?! l7 w
3 ^; Q4 W% i% F7 U' W这些钱是用来干什么的?让那些没有商业利益驱动的开源项目,也能用上最好的漏洞检测能力。
  W% K* T( c" V5 c" `$ q3 }1 Q8 }; ]/ C) b
FFmpeg就是开源的。OpenBSD也是开源的。这些项目没人给他们钱做安全审计,但他们的代码,运行在全球几十亿台设备上。( s: N: ~2 Y1 ^  i1 }+ R# g* d8 r
6 K* N* G/ c8 ]& M2 t
还有一个细节,我觉得特别有意思。; F5 I6 U/ I" y4 M

( \% s/ D1 u  |  |' u+ x漏洞发现之后,公开披露的时间是90天。- u! d) B9 c3 \1 N1 U
8 {6 C! ]0 y+ y7 `- `! ~  [
90天是什么概念?
  L: X2 W" L( U" |) r' ~2 f* c. f! S* y, a$ p
行业标准的漏洞披露窗口是90天。这个时间足够让厂商评估漏洞、制定修复方案、推送更新,但又不至于让漏洞在黑市上流通太久。
3 t& T( D2 Y. C6 E
: b3 K5 t. P# n+ z! Q; ~: r但这里有一个问题:90天是针对"有人发现了漏洞"这个前提来说的。1 r0 E7 P8 Y7 I$ j( R" n

0 a; s  g4 z! D7 |& b% LMythos Preview现在能以前所未有的速度挖出漏洞。它一天挖出来的漏洞,可能比以前整个安全社区一个月挖的还多。
3 p4 p- S( v* W, n) Q9 p- Q8 T: e0 m, q: O. E+ L6 T0 N9 X
这意味着,漏洞披露的节奏,整个就变了。: u* k0 u" R6 Q( j6 T: }

1 {6 m& p1 Z: T5 O! [+ q9 B以前是"挖到一个,披露一个"。现在是"AI在持续不断地挖,每90天披露一批"。
. c% B1 s' o( C- k& H" p8 j7 n. E! A
: v6 q- ^) T! R厂商的补丁开发速度,能不能跟上AI的发现速度?9 J# y& ^- s2 m0 z0 p6 F
$ U8 e( e5 L. W( K3 q! w4 v% _; E
这个,我说实话,不知道。但我觉得,这是整个Glasswing项目最值得观察的地方之一。
7 r$ k9 S5 l) f' P8 W, P+ o
4 a. L0 G7 |: a写到这儿,我突然想到了一个更大的问题。
& ]* e: n9 _! A# x0 X6 o% P8 ?! s( V+ L2 b( _; {  `5 C
Glasswing这个名字,本身就是一只蝴蝶的名字。玻璃翼蝴蝶。它的翅膀是透明的,像玻璃一样。
' p1 y5 D  ]& T, m" o. J1 V9 ~2 z* r& U
透明,意味着隐藏的东西变可见了。
$ k, ?8 G$ g0 T5 Y0 M* |) s; q% ~1 _# j- k! {
一只蝴蝶的翅膀是透明的,它就隐藏不了任何东西了。它在哪里,飞向哪里,所有捕食者都看得清清楚楚。& W  m' f8 \3 w! B* g7 H- A
; p- i$ p1 R- h4 R
这个意象,放在漏洞挖掘上,太精准了。/ I" g* ?( C6 t- k, @# R

# c5 k% h9 R4 O3 n. a' A+ M. N9 @代码里那些隐藏了几十年都没人发现的漏洞,在AI的"眼睛"之下,突然就透明了。
3 [0 J3 V* m' M9 S" q! E  E/ n7 Y7 L
以前我们说"security through obscurity"——通过隐藏来保证安全。你的代码不公开,漏洞藏在暗处,攻击者找不到。3 @& A2 g8 W, @% L3 A$ u% u( n

' I) X3 b6 V+ Q/ x' H; {/ S/ ^但现在,只要代码存在,AI就能读。Mythos Preview不需要你的代码是开源的,它只需要能接触到代码——不管是源码、还是编译后的二进制、还是运行时的行为轨迹。
( a! T# h+ g1 Y% F' O1 N  z) M9 n4 Y1 v' H. i( Q5 U/ ~, n
代码越来越难藏了。或者说,代码里的漏洞越来越难藏了。
/ Q' T& {7 b$ P7 k
  T& G& S6 r, X- \. h1 n这是一件好事吗?% I+ \% ~9 I. d& o

0 H% d0 _& M, F, K' N我觉得,短期内,这是一件非常非常好的事。
( {6 ]$ p" p* q' k9 f5 _9 @* O; W- S. w2 J9 G6 W3 B( X
全球互联网基础设施里,有多少代码是10年、20年、30年前写的?没人敢审计、没人敢动、出了问题就打补丁接着跑的,有多少?
  T, E' Z( L2 \" _6 L
' f4 g" W' Y6 z' [1 @3 a这些代码就像一颗颗定时炸弹,埋在整个数字世界的基础里。
5 y9 u$ @1 M! Y! e  C! U6 Y7 E: ?5 f4 o- z
AI能做的是,帮我们把这些炸弹找出来,一颗一颗地拆除。
2 \2 ]$ t5 Y3 f- |2 H  s7 K
- ]1 `$ M7 z/ G* [4 ?+ j但长期呢?
6 Q, A$ A; b$ V/ g  i
( g9 c9 v4 Q5 m1 A- X  ?, Z+ K当所有可见的漏洞都被AI清除干净之后,剩下的,是什么样的世界?/ p& F" e  {8 ^3 j* R) s& t
% R7 }: [3 n) G) y6 h
是代码质量极高、安全性极强的一个世界?还是所有攻击者也在用同样的AI,攻击的速度和防守的速度同步提升的一个世界?
' R4 c3 |& U7 f: c$ ?7 m
+ D2 z+ o- W6 h; f6 X5 B我也不知道。
7 j) k. k! i7 f% t
) e+ w& f$ @" z% h, t( B5 l' S但有一件事我特别想强调。6 H( ^+ d7 l; G/ D% R1 ?) w+ O% j
1 Y% N. o1 b4 W5 j
这次Glasswing联盟里,有JPMorganChase,有CrowdStrike,有Palo Alto Networks。这些公司,是真正的安全重度用户。
2 h$ R- J% u& R; r! s6 S1 ]% h2 j
他们自己有能力挖漏洞吗?当然有。JPMorganChase的安全团队在全球排前列。CrowdStrike就是做安全的。  g6 V( r* M+ T
# q/ M/ x) Z# `6 s9 ~8 v+ E  \
他们为什么还要加入这个联盟,用别人的AI?3 T( d& ~+ N7 l& w

$ }( k, H; `+ V5 ~2 _9 l我大胆猜测一下:因为挖漏洞这件事,规模太大了。6 f+ r' D4 R9 ^! T: @; j2 N8 U
' t7 g/ D- w) J/ \/ |2 L; w
全球代码量太大了。每一家公司,即使安全团队再强,也只能覆盖自己的代码库。但外面的供应链、开源组件、合作伙伴的代码,你根本管不到。
$ g! i0 W0 B2 S4 ?4 Y" T  }% V& R5 {. o' F& d3 x4 t
Mythos Preview的价值,不在于它比你的安全团队强。而在于它能同时扫所有地方。
5 J$ P8 g7 X: d; K7 d. k7 a1 }- T8 [2 v
这是规模效应。, w; ~. J$ Q6 g, }

) V0 Q* m3 i3 n; w* i/ R, `+ k就像打补丁。手工打补丁,你只能打你知道的那些机器。自动化打补丁,你能打你所有的机器。AI扫漏洞,相当于在每一个代码提交的时候,就自动扫一遍。6 w* R2 J$ X6 c  ]7 Q
7 j4 N& b# `  J) |; _; w. O
这个规模,是人类团队根本无法覆盖的。2 T1 X% Q6 S8 v' L2 {2 J, H

* A" g: @8 K6 s5 e4 f3 O! aGlasswing这个项目,还有可能往一个方向发展——成为一个独立的第三方机构。
0 y; D; h* A& j' z1 ]% r, V, K8 E8 k1 b& R4 w) o6 P
什么意思?
+ x* a: j! r2 v2 g) Y2 M8 K, \8 v5 \3 _3 V5 v! v
现在它还是Anthropic牵头、11家公司参与的联盟。但未来,它可能变成一个真正独立于任何商业公司的安全机构。它的评估结果,有公信力;它的漏洞报告,有权威性;它给出的安全评级,整个行业认。5 p8 \$ }! k5 u: Y  g
' N: ~8 |* `4 l$ T3 p
类似现在的ISO认证,但针对的是代码安全。
. v0 k, H. [% j2 e( z
) g, x" ?% l! c1 [% l  m想想这个画面。未来的软件采购,合同里可能不只要写"符合SOC2",还要写"通过Glasswing认证,漏洞数为0"。
, }3 Z  i/ a( b2 A6 d
5 N; W: g- |  F: d  h这不是不可能的。
. y  \1 p, h8 S6 g/ s9 \& e; H
8 L2 q2 w3 H# W  T' q当然,路还很长。现在还只是第一步。但方向是对的。
8 T: |" b: o" B1 R. r1 c6 D( i. y3 f& d1 T2 E* t  m
好了,写了这么多,让我最后说几句掏心窝的话。5 R1 Y/ o0 H0 I/ N" r0 f

4 j; m8 T: R6 i1 F) B我这次看到Glasswing的新闻,第一个反应是兴奋,第二个反应是有点怕。
+ ?) l: g/ y' ]2 q: H6 h0 D
3 i* y7 \; ]1 I8 d6 [* H$ D# V兴奋是因为,我真的觉得,这是AI在安全领域做的最有价值的一件事。以前我们聊AI安全,大家想的都是"AI能不能被攻击"——对抗样本、数据投毒、模型劫持。这些很重要,但离普通开发者很远。) {) h* z6 I& G, E3 g! ~0 c# H
5 w. J% f7 v0 X. p5 {8 ?% l: w
这次不一样。这次是AI在帮我们发现自己的脆弱点。9 Q" B  H( F- {% o* \

7 O% z7 K% `. t6 c" `这种脆弱点,我们以前不知道,或者知道但没有能力发现。AI把它们挖出来,摆在阳光下,告诉你这里需要修。
4 U+ x/ t5 a& q7 q" ]" K' }0 d4 _7 N7 h( J/ c
这是AI在补人类的短板。不是在超越人类,是在帮助人类补上人类自己够不到的地方。
/ M( `, p* z1 o3 u! v1 f/ x6 k6 i$ E$ G2 u3 B" j
我怕的是什么呢?
; w5 r8 d) _9 G) o% g! d( P& o& }( X
' u/ v3 v& V- ^% a( l; O( y我怕的是,这个工具,只有大公司用得起。- e3 j0 U3 g* N; N- v% Q( ^

9 u, }' P5 |% n3 t- D$ r: ]AWS、Google、Microsoft,Bedrock、Vertex AI、Foundry。这些平台,都是商业平台。Cloudflare这种中型公司,可能用起来没问题。但那些真正需要安全检测的——初创公司、开源项目、十几人的小团队——他们能用到吗?* }6 a7 _% c0 v7 y+ ^& \- r" H7 }

& [, m4 c" ]  x% I) e5 e0 U: a* pAnthropic捐的那1亿美元额度够用多久?分到全世界的开源项目上,每个项目能分到多少?5 `/ [1 {1 C# t" I/ W
6 Y2 _/ P$ ~" ?; L2 Y
这些问题,现在还没有答案。0 |, X' }, K9 r  r4 g
6 s0 p  v. H3 d" T3 v6 @0 Z
但有一点我特别想强调。$ u1 u# t% l5 X5 @4 y
8 o5 R. N7 i# o1 S8 R
Glasswing这个项目,让安全这件事,第一次真正有了一种"基础设施"的可能性。
. }: `# {4 s" f. D+ ~& {/ Q6 g8 r7 V
, Y# _$ o2 c  Z" t' Y* K以前的安全,是奢侈品。你要么雇得起安全团队,要么买得起企业级扫描工具,要么你就裸奔。
% U$ k5 U: p9 i, U1 H; T; }( A4 t
* u$ t+ d9 P5 C$ l& n6 CAI改变了这个等式。Mythos Preview能发现那些企业级工具发现不了的漏洞,但它的调用成本,并没有比那些工具贵多少。
& Z5 z* z  m7 h3 R& O& i1 C0 H1 i; o6 {
当漏洞挖掘的成本持续下降,当AI扫描变成每一个代码仓库的标配,我们或许真的会迎来一个更安全的互联网。
/ \) w9 |6 V$ }# o/ y3 q3 p* s; Z$ n" D! c' a& i! p6 s
这一天什么时候来?我不知道。可能5年,可能10年。8 u, O; Y, b' F" X. ^4 w
' [) @9 j3 x# Q$ ^0 c( _
但Glasswing,让我第一次觉得,这件事不是痴人说梦了。! a# y% [. `9 o: U* u9 A
作者: aniu    时间: 2026-4-9 09:53
联想到了Snowden曝光的棱镜PRISM
作者: xiejin77    时间: 2026-4-9 09:56
aniu 发表于 2026-4-9 09:53
4 ]6 T4 f+ F( @. w5 i/ x# H联想到了Snowden曝光的棱镜PRISM
" t: y3 Y' e# _8 |
大模型大大降低了此类工具的门槛,之前国内的安全夺旗竞赛,几个夺冠的团队好像都用了AI,最狠的一个用了五个codex自动渗透攻击;反复迭代。



欢迎光临 爱吱声 (http://129.226.69.186/bbs/) Powered by Discuz! X3.2