一小群未獲授權的使用者,約有兩週時間透過第三方廠商的環境存取了 Anthropic 受限的 Claude Mythos。
Mythos 廠商環節遭入侵
Bloomberg 首先在 4 月 21 日報導了這起外洩事件,消息來源來自一個追蹤未公開 AI 模型的私人 Discord 頻道。
該團體在 4 月 7 日就成功取得存取權,正是 Anthropic 發表 Mythos 的同一天。
消息人士表示,成員利用第三方承包商的帳密,搭配常見的開源工具進行「情資挖掘」,推測出模型的端點位置。為證明說法,他們向 Bloomberg 提供了截圖與即時示範。
一名 Anthropic 發言人表示:「我們正在調查有關透過某一第三方廠商環境,未經授權存取 Claude Mythos Preview 的通報。」公司強調,目前沒有證據顯示自家系統遭到觸及。
延伸閱讀: $292M KelpDAO Hack Highlights Ethereum Weakness, Hoskinson Says
Glasswing 專案的安全後座力
據報導,這個團體刻意避免在 Mythos 上執行網路安全相關提示,分析人士認為,這是為了閃避偵測,而非為了證明自己「無害」。
獨立評論者指出,當一個工具足以在所有主流作業系統與瀏覽器中尋找並利用零時差漏洞時,使用者的主觀動機其實已經不是重點。
在 Schneier on Security 與 Cybersecurity News 撰文的安全研究人員表示,此事件凸顯了前沿 AI 中最脆弱的一環:承包商帳號與可預測的端點命名方式。
Anthropic 於 4 月 7 日在 Glasswing 專案下推出 Mythos Preview,並承諾提供最高 1 億美元的使用額度。
存取權僅限 12 家發表夥伴,包括 Apple、Microsoft、Google、Amazon Web Services 和 Nvidia,以及約 40 家關鍵基礎設施機構。公司先前已警告,若模型落入不當人士手中,可能被武器化,這番話如今幾乎成了預言。
接下來看: CHIP Volume Now Outpaces Market Cap As Traders Pile In