安全實務人員正反擊各種警報,否認 Anthropic 尚未發佈的 Mythos AI 模型會掀起駭客攻擊浪潮,並稱在發佈一個月後,外界反應已經嚴重過度。
實務專家為 Mythos 恐慌降溫
路透社 報道,與 Mythos 有關的駭客風險看起來比各國政府起初擔心的要小。Anthropic 在四月發佈時曾表示,該模型發現了數以千計、橫跨各大作業系統與瀏覽器的軟件漏洞。
多個國家的官員其後與銀行會面,評估其曝險程度;到五月初,白宮亦在考慮是否為實驗室在安全測試後如何釋出新模型訂立規則。
在網絡安全圈內,反應則冷靜得多。軟件安全公司 Semgrep 創辦人兼行政總裁 Isaac Evans 在接受路透社訪問時表示:「我認為實務人員與決策者之間,存在非常大的溝通鴻溝。」他稱這個模型是「真正的技術進步」,但補充指公眾反應「並沒有獲我們實際掌握的資訊所支持」。
延伸閱讀: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
專家認為風險屬可控
更大的問題並非發現漏洞,而是如何分流與分類。一名獲得早期使用權的漏洞研究員表示,AI 挖掘出的漏洞數量,已多到團隊數個月內都難以完全處理,真正的瓶頸在於驗證與修補。
Mythos 降低了入門門檻,因為它在較弱、較粗略的提示下,也能產出結果,而早期模型往往需要更精細的提示。
Cisco 資深副總裁兼首席安全與信任官 Anthony Grieco 在接受訪問時指出,更快的程式碼掃描與更少的誤報,有助防禦方集中處理最迫切的風險。他同時提到,Mythos 的安全護欄較以往版本更少。
前 FBI 高級網絡安全官員、現任安全公司 Halcyon 成員 Cynthia Kaiser 則表示,大部分攻擊至今仍不依賴 AI。「我們的對手在沒有 AI 的情況下,也已經變得非常厲害,」她說,並指出勒索軟件集團現時往往可在一小時內擊中受害者。
Project Glasswing 背景
Anthropic 在 4 月 7 日啟動 Project Glasswing,讓特選機構獲得 Claude Mythos 預覽版的使用權,作為防禦性網絡安全工作之用,合作夥伴包括 Apple、Microsoft、Google、AWS 與 CrowdStrike。五角大樓在三月已將 Anthropic 列為供應鏈風險,即使如此,外界報道指 NSA 仍然持續使用 Mythos 預覽版。白宮在四月底否決了一項把合作名單由約 50 間公司擴展至約 120 間的計劃。
下一篇: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain