Anthropic 的 Claude Mythos 模型在一場機密情報測試中,只用了數小時,便揭露高度敏感的美國政府電腦系統的安全缺陷,一名官員表示。
重點摘要:
- 一名官員表示,Anthropic 的 Mythos AI 在情報測試中,數小時內就找出美國政府機密系統的弱點。
- 該名官員提醒,發現弱點並不等同於成功利用弱點發動攻擊。
- 超過 100 名網絡安全專家要求政府撤回出口限制,恢復 Mythos 與 Fable 5 的上線。
Mythos 測試暴露政府機密系統缺陷
一名美國官員因工作敏感而要求匿名表示,情報機構與該公司在名為 Project Glasswing 的計畫下進行了這次演習。這項倡議召集科技巨頭與其他公司,在軟件漏洞造成對公共安全與經濟的嚴重損害之前,先加固關鍵軟件。Anthropic 暫緩公開發佈 Mythos,而是先向一小部分公司提供早期存取權,好讓他們能在攻擊者之前找出並修補關鍵錯誤。
維珍尼亞州民主黨參議員 Mark Warner 最早於 6 月 11 日,在參議院銀行、住房與城市事務委員會聽證會上提及這些測試。他表示,該工具在數小時而非數週內,便突破幾乎所有政府的機密系統,並將這一說法歸因於同時領導國家安全局與美國網絡司令部的 Joshua Rudd。
該名官員提醒,識別弱點並不等同於真正加以利用。
延伸閱讀: Anthropic Perp 拋售是否在警示 Pre-IPO 加密投資風險?
網安專家挑戰出口限制
包括 Adobe 和 Nvidia 人士在內的逾 100 名網絡安全領袖已敦促政府撤銷出口限制,並承諾以透明程序評估 AI 風險。他們表示,Mythos 能夠發現並武器化軟件漏洞,但並非獨一無二,因為許多專家同樣依賴競爭對手與開源模型完成相同工作。他們指出,中國系統只落後美國最先進模型數個月,令當下時機尤其高風險。
這股反彈源於 6 月 12 日的一道出口指令,該指令禁止外國人士使用 Mythos 5 與 Fable 5,亦即 Mythos 等級更廣泛的版本。為遵從命令,Anthropic 已對所有客戶停用這兩款模型,同時堅稱並未看到政府此舉在安全上有任何依據。
該指令是繼總統 Donald Trump 發佈行政命令之後而來。該命令建立了一套聯邦審查機制,可在最先進 AI 系統發佈前,審核長達一個月。行政命令表示,開發者參與是自願的,但與這家重視安全的公司之間的緊張關係一直居高不下。
Mythos 的網安紀錄早於這次衝突
這款模型於今春推出時,已展現出能發掘連資深人類研究員都會錯過之軟件漏洞的本領。英國的 AI 安全研究所先前在專家級奪旗賽挑戰中核實了 Mythos 的能力,這些題目此前沒有任何系統成功解出,而該模型通過了其中 73%。Mozilla 則另外表示,一個早期版本曾在 Firefox 中找出 271 個漏洞,並已在瀏覽器第 150 個版本中完成修補。