Anthropic 表示,计划向公众开放其漏洞猎捕 AI 模型 Mythos,但前提是先构建目前尚不存在的安全防护措施。
要点:
- Anthropic 计划先扩大对美国及其盟友政府的开放,再广泛发布 Mythos 级模型。
- 公司承认,目前包括其自身在内,没有任何机构建立起足以有效阻止滥用的安全防护。
- Mythos 已在 1,000 个开源项目中标记出超过 23,000 个问题,其中 6,202 个被评为高危或严重漏洞。
Anthropic Mythos 发布计划
Anthropic 在其有限访问安全项目 Project Glasswing 的更新中确认了这一计划,另一份报告则指出具体时间表仍不确定。
公司称,将首先与美国及其盟友政府合作,扩大该项目的覆盖范围。随后将在不久的将来更广泛地发布“Mythos 级模型”。
Anthropic 对风险的表述十分直白。它在一份声明中指出,目前尚无任何公司(包括 Anthropic 自身)构建出足以防止模型被滥用并造成严重危害的安全防护。
尽管如此,公司预计类似工具仍将迅速传播,并预测 Mythos 级模型将在 6 至 12 个月内实现广泛可用。
Mythos 于四月首次亮相。Anthropic 称,在测试中它有 72.4% 的概率能生成可用漏洞利用代码,而早期 Claude 模型几乎为零。
延伸阅读: Cisco Research Shows Frontier AI Models Failing Under Multi-Turn Attacks
Mythos 的漏洞发现情况
自发布以来,该模型已扫描超过 1,000 个开源项目,并发现了 23,019 个问题,其中 6,202 个被评为高危或严重级别。
其中一个发现尤为突出:Mythos 在加密库 wolfSSL 中发现了一个漏洞。wolfSSL 被数十亿设备使用,该漏洞可能允许攻击者伪造证书并冒充银行或电子邮件服务提供商。该问题现已被修复。
大量报告给负责修复的人带来了巨大压力。开源维护者已要求 Anthropic 放慢披露节奏,称漏洞数量远超其处理能力。
研究人员则看到更深层的不平衡。Anthropic 认为,借助此类工具“找漏洞”已比“修漏洞”容易得多。为此,公司与开放源代码安全基金会(Open Source Security Foundation)的 Alpha-Omega 项目合作,帮助维护者对堆积如山的报告进行分级与优先排序。
Claude Mythos 的系统卡片预测,长期来看 AI 会更有利于防御方,但 Anthropic 也承认,目前攻击者可能仍然占据优势。
在Mythos 首次公布时,Anthropic 曾向包括 Apple、Microsoft 和 Google 在内的 50 多家机构提供访问权限,并附带约 1 亿美元的使用额度;同时并未向公众开放该模型,原因正是其具备将软件缺陷“武器化”的潜力。
下篇阅读: Cardano Whales Seize 67.5% Of ADA Supply, A Six-Year High