一小群未獲授權的用戶,約兩星期以來一直透過第三方供應商環境,存取 Anthropic 的受限 Claude Mythos。
Mythos 供應商外洩事件
Bloomberg 於 4 月 21 日率先報道這次外洩,消息來源來自一個追蹤未發佈 AI 模型的私人 Discord 頻道。
該群組於 4 月 7 日取得存取權,正是 Anthropic 發佈 Mythos 的同一天。
消息指,他們依賴第三方承辦商的憑證,以及常見的開源追蹤工具來猜測模型的端點,並向 Bloomberg 提供 螢幕截圖及即場示範作為證明。
一名 Anthropic 發言人表示:「我們正調查一宗報告,指有人透過我們其中一個第三方供應商環境,未經授權便存取 Claude Mythos Preview。」公司表示,目前沒有證據顯示自家系統曾被入侵。
延伸閱讀: $292M KelpDAO Hack Highlights Ethereum Weakness, Hoskinson Says
Glasswing 安全後果
據報該群組刻意避免在 Mythos 上執行網絡安全相關提示,分析人士認為,這是為了逃避偵測,而非證明其行為無害。
獨立評論人士指出,當相關工具能夠發現並利用所有主流作業系統及瀏覽器的零日漏洞時,使用者的意圖其實並不重要。
在 Schneier on Security 及 Cybersecurity News 撰文的安全研究人員指出,這次事件揭示了前沿 AI 中最脆弱的一環:外判帳戶及可預測的端點命名。
Anthropic 於 4 月 7 日在 Project Glasswing 底下推出 Mythos Preview,承諾提供最多 1 億美元的使用額度。
存取權只限於 12 間首發合作夥伴,包括 Apple、Microsoft、Google、Amazon Web Services 和 Nvidia,以及約 40 間關鍵基礎設施機構。公司早前曾警告,指該模型一旦落入不法之徒手中,可能被武器化,如今看來可說是一語成讖。