保安從業員正反駁外界對 Anthropic 未發布的 Mythos AI 模型會掀起駭客浪潮的警報,稱相關反應在推出一個月後已被證明過於誇張。
從業員為 Mythos 恐慌降溫
路透社 報道,與 Mythos 相關的駭客風險看起來比各國政府起初擔心的要小。Anthropic 在四月發布時表示,該模型已發現橫跨所有主流作業系統及瀏覽器的數以千計軟件漏洞。
多個國家的官員與銀行會面評估風險,到五月初白宮亦考慮就實驗室在安全測試後如何發布新模型制訂規則。
在網絡保安行業內部,反應則冷靜得多。軟件保安公司 Semgrep 創辦人兼行政總裁 Isaac Evans 向 路透社表示:「我認為從業員與決策者之間存在一個非常大的溝通落差。」他補充說,這個模型在技術上「確實是一大進展」,但公眾反應「並沒有建立在我們實際已知的事實之上」。
延伸閱讀: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
專家認為風險可控
更大的問題不是找到漏洞,而是如何為它們排優先次序。一名率先取得使用權的漏洞研究員表示,AI 找出的缺陷多到團隊數個月都處理不完,真正的瓶頸在於驗證及修補。
相比早期模型,Mythos 需要的提示更弱便能產出結果,因而降低了入門門檻。
思科(Cisco) 高級副總裁兼首席保安及信任總監 Anthony Grieco 指出,Mythos 能更快掃描程式碼並減少誤報,協助防禦方專注處理最迫切的風險。不過,Mythos 的安全護欄亦比早期版本少。
前 FBI 高級網絡保安官員、現於保安公司 Halcyon 任職的 Cynthia Kaiser 表示,大部分攻擊目前仍不依賴 AI。她說:「我們的對手在沒有 AI 的情況下已變得非常厲害。」並指出勒索軟件集團如今往往在一小時內便能擊中受害者。
Project Glasswing 背景
Anthropic 於 4 月 7 日推出 Project Glasswing,讓部分機構獲得 Claude Mythos 預覽版,用於防禦性網絡保安工作,合作伙伴包括 Apple、Microsoft、Google、AWS 及 CrowdStrike。五角大樓在三月將 Anthropic 列為供應鏈風險,但據報 NSA 仍持續使用 Mythos 預覽版。白宮在四月底否決了把合作名單由約 50 間公司擴展至約 120 間的計劃。
下一篇: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain