一个小型未经授权用户群体,大约两周来一直通过第三方厂商环境,访问 Anthropic 的受限 Claude Mythos。
Mythos 厂商环境泄露
彭博社在 4 月 21 日首先报道了这起泄露事件,消息来源于一个跟踪未发布 AI 模型的私密 Discord 频道内部人士。
消息人士称,该小组在 4 月 7 日成功进入系统——也就是 Anthropic 发布 Mythos 的同一天。
该人士表示,成员利用第三方承包商的账号凭证,加上常见的开源信息搜集工具来猜测模型的端点。他们向彭博社提供了截图和现场演示作为佐证。
“我们正在调查一份报告,称有人通过我们某个第三方厂商环境,未经授权访问 Claude Mythos 预览版。”一名 Anthropic 发言人表示。该公司称,目前尚未发现自家系统遭到入侵的证据。
延伸阅读: $292M KelpDAO Hack Highlights Ethereum Weakness, Hoskinson Says
Glasswing 计划的安全影响
据称,这个小组一直刻意避免在 Mythos 上运行网络安全相关提示词。分析人士认为,此举意在规避检测,而非证明其“无害”。
独立评论者指出,当一个工具可以在所有主流操作系统和浏览器中发现并利用零日漏洞时,使用者的主观意图已经变得次要。
在 Schneier on Security 以及 Cybersecurity News 上撰文的安全研究人员表示,这一事件暴露了前沿 AI 体系中的最薄弱环节:承包商账号以及可预测的端点命名方式。
Anthropic 于 4 月 7 日在 Glasswing 计划下推出 Mythos 预览版,承诺提供最高 1 亿美元的使用额度补贴。
访问权限仅限于 12 家首发合作伙伴,包括 Apple、Microsoft、Google、Amazon Web Services 和 Nvidia,以及大约 40 家关键基础设施机构。该公司此前曾警告,如果模型落入不当之手,可能被武器化,如今这一说法显得颇具预言性。
接下来阅读: CHIP Volume Now Outpaces Market Cap As Traders Pile In