資安從業人員正反駁外界的警報聲,認為 Anthropic 的尚未正式發布 Mythos AI 模型 將掀起大規模駭客攻擊的說法被誇大,在上線一個月後就稱這種反應過度。
從業者為 Mythos 恐慌降溫
與 Mythos 相關的駭客風險,看起來比各國政府起初擔憂的要小, 路透社週三 報導 稱如此。Anthropic 在四月發布時表示,該模型已發現數千個軟體缺陷,涵蓋所有主要作業系統與瀏覽器。
多國官員與銀行會面以評估曝險情況,而白宮則在五月初考慮,是否針對實驗室在安全測試後發布新模型的方式制定規則。
在資安領域內部,反應則顯得冷靜許多。軟體安全公司 Semgrep 創辦人兼執行長 Isaac Evans 告訴 路透社,他認為「實務從業者與決策者之間存在非常大的溝通鴻溝」。他補充指出,這個模型是「真正的技術進展」,但公眾的反應「並沒有建立在我們實際所知的基礎上」。
延伸閱讀: Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
專家認為風險可控
更大的問題不在於找到漏洞,而是如何進行優先排序。一位擁有早期存取權的漏洞研究員 表示, AI 挖出來的缺陷數量,多到團隊好幾個月都消化不完,真正的瓶頸在於驗證與修補。
Mythos 降低了入門門檻,因為相較於先前的模型,它在較弱的提示下就能產生結果。
思科資深副總裁兼首席安全暨信任長 Anthony Grieco 指出, 更快速的程式碼掃描與更少的誤報,有助防禦方專注在最迫切的風險上。同時,Mythos 相較早期版本也少了更多防護軌道與限制。
前 FBI 資深資安官員、現任安全公司 Halcyon 的 Cynthia Kaiser 則表示,多數攻擊仍不依賴 AI。「我們的對手在沒有 AI 的情況下,早就變得非常厲害了,」 她說,並指出勒索軟體團伙現在往往在一小時內就能擊中受害者。
Project Glasswing 背景
Anthropic 於 4 月 7 日推出 Project Glasswing, 讓特定組織取得 Claude Mythos Preview,用於防禦型資安工作,合作夥伴包括 Apple、Microsoft、Google、AWS 和 CrowdStrike。五角大廈在三月將 Anthropic 列為供應鏈風險對象,同一時間外傳 NSA 仍持續使用 Mythos Preview。白宮在四月底否決了一項計畫,未同意將合作夥伴名單從約 50 家公司擴增到約 120 家。
接下來閱讀: BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain