安全从业者正在反驳有关Anthropic 未发布的 Mythos AI 模型将引发黑客浪潮的警报,称在上线一个月后,这种反应被严重夸大。
从业者给 Mythos 恐慌降温
与 Mythos 相关的黑客风险,似乎比各国政府最初担心的要小得多,路透社(Reuters)报道称。在 4 月上线时,Anthropic 表示该模型发现了数以千计的软件缺陷,涵盖所有主流操作系统和浏览器。
多个国家的官员与银行会面评估敞口,今年 5 月初,白宫还在考虑是否对实验室在安全测试后如何发布新模型制定规则。
在网络安全圈内,反应则冷静得多。软件安全公司 Semgrep 的创始人兼首席执行官 Isaac Evans 对路透社表示:“我认为从业者和政策制定者之间存在非常大的沟通鸿沟。”他补充说,这一模型在技术上“确实是重大进展”,但公众反应“并没有得到我们现有证据的支撑”。
相关阅读:Claude Mythos AI Built Working Exploits Across 50 Cloudflare Repos, Then Refused To Demo
专家认为风险可控、需理性看待
更大的问题不在于发现漏洞,而在于如何对其进行分级和处置。一名获得早期访问权限的漏洞研究人员表示,AI 暴露出的缺陷数量多到团队数月都难以消化,真正的瓶颈在于验证与打补丁。
Mythos 降低了入门门槛,因为与早期模型相比,它在面对较弱提示词时也能给出结果。
思科(Cisco)高级副总裁兼首席安全与信任官 Anthony Grieco 指出,更快的代码扫描和更少的误报可以帮助防御方聚焦最紧迫的风险。与此同时,Mythos 相比以往版本,内置的“护栏”更少。
现任安全公司 Halcyon 高管、前 FBI 网络安全高级官员 Cynthia Kaiser 表示,大多数攻击仍然并不依赖 AI。“我们的对手在没有 AI 的情况下就已经做得非常好了,”她说,并指出勒索软件团伙如今往往能在一小时内击中受害者。
“玻璃翼计划”背景
Anthropic 于 4 月 7 日启动 Project Glasswing,向部分机构开放 Claude Mythos 预览版,用于防御性网络安全研究,合作伙伴包括 Apple、Microsoft、Google、AWS 和 CrowdStrike。今年 3 月,五角大楼将 Anthropic 列为供应链风险,即便如此,据报道 NSA 仍在使用 Mythos 预览版。今年 4 月底,白宫否决了一项将合作伙伴数量从约 50 家扩展到约 120 家的计划。
下篇阅读:BitMine Buys 71,672 ETH As Tom Lee Calls $2,200 Dip A Bargain