安全从业者正在反驳外界对Anthropic 尚未发布的 Mythos AI 模型可能引发黑客浪潮的警报,称这种反应在其上线一个月后已被证明是反应过度。
从业者为 Mythos 降温
与 Mythos 相关的黑客风险看起来比各国政府最初担心的要小得多,路透社报道称。在 4 月发布时,Anthropic 称该模型已发现横跨所有主流操作系统和浏览器的数千个软件缺陷。
多个国家的官员与银行会面以评估暴露程度,而白宫在 5 月初则在考虑,是否要对实验室在安全测试后如何发布新模型制定规则。
在网络安全圈内,反应则要冷静得多。软件安全公司 Semgrep 的创始人兼首席执行官 Isaac Evans对路透社表示:“我认为从业者和决策者之间存在非常大的沟通鸿沟。”他补充说,这一模型“在技术上确实是一次真正的进步”,但公众的反应“并没有得到我们实际掌握的信息的支撑”。
延伸阅读:Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
专家认为风险可控
更大的问题不是找到漏洞,而是对它们进行分级处置。一名获得早期使用权限的漏洞研究员表示,AI 挖掘出的缺陷数量已经多到团队数月都难以消化,真正的瓶颈在于验证和打补丁。
Mythos 降低了入门门槛,因为与早期模型相比,它在更弱的提示下就能给出结果。
思科高级副总裁兼首席安全与信任官 Anthony Grieco指出,更快的代码扫描和更少的误报有助于防御方聚焦最紧迫的风险。同时,Mythos 相比早期版本设定的“护栏”也更少。
前 FBI 高级网络安全官员、现就职于安全公司 Halcyon 的 Cynthia Kaiser 则表示,大多数攻击目前仍然不依赖 AI。“我们的对手在没有 AI 的情况下就已经做得非常好了,”她说,并指出勒索软件团伙现在往往能在不到一小时内攻陷受害者。
“玻璃翼计划”背景
Anthropic 于 4 月 7 日启动 Project Glasswing,向部分机构开放 Claude Mythos 预览版,用于防御性网络安全工作,合作伙伴包括 Apple、Microsoft、Google、AWS 和 CrowdStrike。五角大楼在 3 月将 Anthropic 列为供应链风险,即便如此,据报道 NSA 仍在使用 Mythos 预览版。白宫在 4 月下旬否决了将合作伙伴名单从大约 50 家扩展到约 120 家的计划。
接着看:BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain