安全實務人員正反擊外界的警報聲,認為Anthropic 尚未釋出的 Mythos AI 模型將引爆駭客攻擊浪潮的說法過於誇張,而這波爭論在模型推出一個月後仍持續延燒。
實務專家為 Mythos 恐慌降溫
與 Mythos 相關的駭客風險,看起來比各國政府一開始擔憂的要小得多,路透社(Reuters)報導指出。Anthropic 在 4 月發布時表示,該模型已發現數千個橫跨各大作業系統與瀏覽器的軟體弱點。
多個國家的官員與銀行會面評估曝險情況,而白宮在 5 月初則考慮針對實驗室在安全測試後如何釋出新模型訂立規範。
不過在資安產業內部,反應相對冷靜。軟體安全公司 Semgrep 的創辦人兼執行長 Isaac Evans 向路透社表示,「我認為實務人員與決策者之間存在非常大的溝通落差。」他補充說,這個模型在技術上「確實是重大進展」,但目前社會大眾的反應「並沒有建立在我們真正掌握的事實之上」。
延伸閱讀:Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
專家評估:風險可控但需謹慎
多名研究人員指出,真正的難題不是「找到」漏洞,而是如何為其排定優先順序並處理。一名擁有早期存取權的漏洞研究員表示,AI 已經找出遠超過團隊在數個月內能處理的弱點數量,真正的瓶頸在於驗證與修補流程。
與早期模型相比,Mythos 能在較弱、較模糊的提示下產生結果,等於進一步降低了入門門檻。
Cisco 資深副總裁兼首席安全與信任長 Anthony Grieco指出,更快速的程式碼掃描與較少的誤報,有助於防禦方專注在最迫切的風險上。另一方面,Mythos 相較先前版本也放鬆了一部分安全防護欄。
前 FBI 資安高階官員、現任 Halcyon 安全公司主管 Cynthia Kaiser 表示,多數攻擊目前仍不依賴 AI。「我們的對手在沒有 AI 的情況下就已經變得非常厲害了,」她說,並指出勒索軟體集團現在往往能在一小時內就鎖定並攻擊受害者。
Project Glasswing 背景
Anthropic 在 4 月 7 日推出 Project Glasswing,讓特定組織可存取 Claude Mythos 預覽版,用於防禦性資安工作,合作夥伴包括 Apple、Microsoft、Google、AWS 與 CrowdStrike。國防部在 3 月將 Anthropic 列為供應鏈風險,即便同一時間有報導指稱 NSA 仍持續使用 Mythos 預覽版。白宮在 4 月下旬否決了一項計畫,該計畫原本打算將合作夥伴名單從約 50 家公司擴大到約 120 家。
接著看:BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain