Anthropic 的 Claude Mythos 模型在一場機密情報測試中,只花了數小時就揭露極度敏感的美國政府電腦系統中的安全漏洞,一名官員表示。
重點摘要:
- 一名官員表示,Anthropic 的 Mythos AI 在情報測試中,在數小時內就找出了美國政府機密系統中的弱點。
- 該官員提醒,找出弱點並不等同於成功利用弱點進行攻擊。
- 超過 100 名網絡安全專家希望政府撤銷讓 Mythos 和 Fable 5 下線的出口限制。
Mythos 測試揭露政府機密系統缺陷
一位不願具名、負責敏感工作的美國官員表示,情報機構在一項名為 Project Glasswing 的計劃下,與該公司一起進行 了這次演習。這個倡議把大型科技公司及其他企業聚集起來,在軟件缺陷對公共安全與經濟造成嚴重損害之前,先行強化關鍵軟件的防護。Anthropic 並未公開發佈 Mythos,而是優先向少數公司提供早期存取權,好讓他們在攻擊者之前找到並修補關鍵漏洞。
維珍尼亞州民主黨聯邦參議員 Mark Warner 首度在 6 月 11 日的參議院銀行、住房及城市事務委員會聽證會上提及這些測試。他表示,該工具在數小時而非數週之內,就「闖入」了幾乎所有政府的機密系統,並將這一說法歸功於同時領導國家安全局與美國網絡司令部的 Joshua Rudd。
該名官員提醒,識別出弱點並不等於成功利用該弱點發動攻擊。
延伸閱讀: Anthropic 永續合約拋售,是否預示上市前加密投資的警訊?
網絡安全專家質疑出口限制
包括 Adobe 和 Nvidia 人士在內的逾 100 名網絡安全領袖已敦促 政府撤銷出口限制,並承諾採用透明程序評估 AI 風險。他們表示,Mythos 在發現及武器化軟件漏洞方面能力出眾,但並非獨一無二,因為許多從業者也依賴競爭對手及開源模型從事同類工作。他們又指出,中國的系統與最頂尖的美國模型之間僅落後數個月,使目前的時間點格外敏感。
這波反彈源自 6 月 12 日的一項出口指令,該指令禁止外國人士使用 Mythos 5 與 Fable 5,也就是 Mythos 等級模型的更廣泛版本。為遵守規定,Anthropic 對所有客戶停用這兩款模型,同時堅稱政府此舉缺乏安全理據。
這道指令承接自總統 Donald Trump 先前簽署的一項行政命令,該命令設立一套聯邦審查機制,對最先進的 AI 系統在發佈前進行長達一個月的審核。命令指出,開發者的參與屬自願性質,但政府與這家強調安全的公司之間的緊張關係已顯著升溫。
Mythos 的網安紀錄早於此次衝突
這款模型在今年春季面世時,就已展現出發掘軟件缺陷的突出本領,甚至能找到資深人類研究人員都會錯過的問題。英國的 AI Security Institute 早前在專家級「奪旗賽」挑戰中,為 Mythos 的網安能力背書,這些題目此前從未有系統成功解出,而該模型成功通過了其中 73%。Mozilla 則另外指出,一個早期版本曾在 Firefox 中找到 271 個漏洞,而這些漏洞已於該瀏覽器第 150 版中獲得修補。