Anthropic 的 Claude Mythos 模型在一場機密情報測試中,只花了數小時就揭露高度敏感的美國政府電腦系統中的安全缺陷,一名官員表示。
重點摘要:
- Anthropic 的 Mythos AI 在情報測試中於數小時內就發現美國政府機密系統的弱點,一名官員表示。
- 該官員提醒,發現弱點與真正加以利用並不相同。
- 超過 100 名資安專家要求政府撤回出口限制,讓 Mythos 和 Fable 5 能重新上線。
Mythos 測試揭露政府機密系統缺陷
一名美國官員在談到這項敏感工作時,以匿名方式表示,情報機構在名為 Project Glasswing 的計畫下,與該公司一同進行了這場演習。這項倡議召集科技巨頭與其他公司,在軟體缺陷造成公共安全與經濟嚴重傷害之前,先加強關鍵軟體的防護。Anthropic 並未公開釋出 Mythos,而是先讓少數企業取得早期存取權,好在攻擊者之前尋找並修補關鍵 bug。
維吉尼亞州民主黨參議員 Mark Warner 首度在 6 月 11 日,於參議院銀行、住房與城市事務委員會的聽證會上提及這些測試。他表示,這個工具在數小時內就突破了政府幾乎所有機密系統,而不是以往需要數週時間,並將這項說法歸因於同時領導國安局與美國網路司令部的 Joshua Rudd。
該名官員提醒,辨識出弱點與實際利用弱點並不相同。
延伸閱讀: Anthropic 期貨拋售是否是 IPO 前加密投資的警訊?
資安專家挑戰出口限制
包含 Adobe 與 Nvidia 人士在內的逾 100 位資安領袖已敦促政府撤回出口限制,並承諾建立一套透明程序來評估 AI 風險。他們表示,Mythos 在發掘與武器化軟體缺陷方面能力強大,但並非獨一無二,因為許多專家也仰賴競爭對手與開源模型從事同樣工作。他們主張,中國的系統落後美國最佳模型僅數個月,使得此時機格外充滿風險。
這股反彈源自 6 月 12 日的一道出口指令,該指令禁止外國人士使用 Mythos 5 與 Fable 5,也就是 Mythos 等級中較廣泛的版本。為了遵守規定,Anthropic 停用了兩款模型對所有客戶的服務,同時仍堅稱政府此舉欠缺安全上的依據。
這道指令緊接著總統 Donald Trump 的行政命令而來,該命令要求在最先進 AI 系統發布前,可由聯邦機構審查長達一個月。命令指出,開發者的參與屬自願性質,但政府與這家重視安全的公司之間的緊張關係始終高張。
Mythos 的資安紀錄早於此次衝突
今年春天問世時,該模型就已被記錄具備找出連資深人類研究員都會忽略之軟體缺陷的本領。英國的 AI Security Institute 先前在專家級奪旗競賽(capture-the-flag)挑戰中評估了 Mythos,這些題目先前從無系統成功解出,而該模型通過了其中 73%。Mozilla 則另行表示,一個早期版本曾在 Firefox 中發現 271 個漏洞,並在瀏覽器第 150 版中完成修補。