Anthropic 的 Claude Mythos 模型在一場機密情報測試中,只花了幾個小時就揭露高度敏感的美國政府電腦系統中的安全缺陷,一位官員表示。
重點摘要:
- 一名官員表示,Anthropic 的 Mythos AI 在情報測試中,於數小時內就找出美國政府機密系統中的弱點。
- 該官員提醒,找到弱點不等同於成功加以利用。
- 超過 100 名網路安全專家希望政府撤銷讓 Mythos 和 Fable 5 下線的出口限制。
Mythos 測試揭露政府機密系統缺陷
一位美國官員在談及這項敏感工作時要求匿名,表示情報機構在名為 Project Glasswing 的計畫下,與該公司共同進行了這次演習。此一倡議集合科技巨頭與其他公司,在軟體漏洞對公共安全與經濟造成嚴重傷害之前,先行強化關鍵軟體。Anthropic 並未公開釋出 Mythos,而是先讓少數精選企業取得早期存取權,好在任何攻擊者之前發現並修補重大漏洞。
維吉尼亞州民主黨籍聯邦參議員 Mark Warner 首度於 6 月 11 日,在參議院銀行、住房及城市事務委員會的聽證會上提及這些測試。他表示,該工具在短短數小時內就「闖入」幾乎所有政府的機密系統,而非過去所需的數週,並將此說法歸功於同時掌管國家安全局與美國網路司令部的 Joshua Rudd。
該名官員提醒,識別出弱點並不等同於實際成功利用該弱點。
延伸閱讀: Anthropic Perp 拋售是否對 Pre-IPO 加密押注發出警訊?
網路安全專家挑戰出口限制
包括 Adobe 與 Nvidia 人士在內的逾百位網路安全領袖已敦促政府撤銷出口限制,並承諾採取透明程序來評估 AI 風險。他們表示,Mythos 在尋找與武器化軟體缺陷方面確實能力不俗,但並非獨一無二,許多專家在相同作業上同樣依賴競爭對手與開源模型。他們主張,中國系統與最先進的美國模型之間僅落後數個月,使得此一時機格外風險甚高。
這波反彈源自 6 月 12 日的一項出口指令,該指令禁止外籍人士使用 Mythos 5 與 Fable 5,也就是 Mythos 階層更廣泛的釋出版本。Anthropic 為了遵守規定,對所有客戶停用了這兩款模型,但仍堅稱政府此舉缺乏安全上的依據。
這道指令則是延續總統 Donald Trump 先前發布的行政命令,該命令規定,最先進的 AI 系統在釋出前最長須接受為期一個月的聯邦審查。命令指出,開發者參與將屬自願性質,然而政府與主打安全的該公司之間的緊張關係卻不斷升高。
Mythos 的網攻紀錄早於本次衝突
這款模型於今年春季問世時,就已具備被正式記錄的能力,能夠找出連經驗老到的人類研究員都會錯過的軟體缺陷。英國的 AI 安全研究院先前在專家級的奪旗(capture-the-flag)挑戰中核可 了 Mythos 的能力,這些挑戰先前從未被任何系統解出,而該模型通過了其中 73%。Mozilla 則另外歸功於 一個早期版本,協助發現了 Firefox 中 271 個漏洞,並在該瀏覽器第 150 版中完成修補。