📢 转载信息
原文作者:Lily Hay Newman
Anthropic本周宣布,其全新的 Claude Mythos Preview 模型正式发布。该公司称,这标志着网络安全演进的一个关键节点,对现有的软件防御策略构成了前所未有的生存威胁。那么,这究竟是AI的又一次过度炒作,还是一个真正的行业转折点?
据Anthropic称,Mythos Preview跨越了一项关键的能力门槛:它能够发现几乎任何操作系统、浏览器或其他软件产品中的漏洞,并自动开发出可用的黑客利用程序。考虑到这一点,该公司目前仅向包括微软、苹果、谷歌和Linux基金会在内的少数机构开放,这些机构共同组成了名为 Project Glasswing 的联盟。然而,在关于生成式AI将如何影响网络安全的多年猜测之后,本周的消息引发了争议,人们开始争论一场真正的清算是否已经到来,以及它在实践中会表现为何种形式。
能力与质疑并存
一些人对Anthropic的说法持极度怀疑态度。他们认为,现有的AI智能体已经能比以往任何时候都更轻松、更廉价地帮助用户发现和利用漏洞,这种现实正在促使公司完善其发现和修补软件的方式,而并未从根本上改变模式。此外,Anthropic几乎肯定会从将该模型定位为“神秘且强大”的营销策略中获益。但其他研究人员和从业者则同意Anthropic的评估,并指出Mythos Preview只是首个达到此类能力的模型,这些功能最终将在其他模型中广泛普及。
云安全公司Edera的首席技术官Alex Zenla表示:“我通常对这些事情持高度怀疑态度,开源社区往往也是如此,但我确实从根本上感觉到这是一个真正的威胁。”
从“漏洞”到“攻击链”
Zenla等人特别指出Mythos Preview的一个关键能力:生成式AI现在能够更高效地识别和开发所谓的 “攻击链”(exploit chains)。这是一组可以按顺序利用的漏洞,能够深入破坏目标系统,本质上类似于“鲁布·戈德堡机械”式的黑客攻击。许多最复杂的黑客技术都采用了攻击链,包括无需用户交互即可破坏系统的 零点击攻击(zero-click attacks)。
资深安全工程师Niels Provos指出:“我们已经生活在一个公司运行着易受攻击的软件和硬件,且难以修补的世界里。许多公司根本无法保护其基础设施,这一点并没有改变。但我理解的是,Mythos非常擅长提出多阶段漏洞,并提供利用证明。我不认为它从本质上改变了问题空间,但它降低了发现和利用这些漏洞所需的技能门槛。”
行业共识与防线
行业领导者似乎正在听从警告。Anthropic的前沿红队主管Logan Graham向《连线》(WIRED)杂志表示,随着公司就Project Glasswing与各组织接触,潜在威胁的迫切性变得愈发明显。
美国财政部长斯科特·贝森特(Scott Bessent)和美联储主席杰罗姆·鲍威尔(Jerome Powell)本周甚至召开了一场金融部门领导人会议,专门讨论此类模型对网络安全的影响。思科首席产品官Jeetu Patel也表示,Mythos Preview意义重大,它正在“为防御者创造一种对抗恶意攻击者的非对称优势”。
从防御到安全设计
对于许多安全专家来说,这一时刻提供了一个解决当前软件开发短板的机会。正如美国网络安全和基础设施安全局(CISA)前局长Jen Easterly所言,Project Glasswing可能会引领一个未来:AI将帮助我们不再仅仅是无休止地防御有缺陷的软件,而是转向构建从一开始就更安全的科技产品。这不是安全使命的终结,而是“我们所熟知的网络安全”范式的转折点。
正如Edera的Zenla所言,Mythos Preview不是那种一夜之间改变一切的闪电,但它确实加速了攻击者组合漏洞的能力。动态已经发生改变,虽然有人会对此感到不满,但安全范式转向“从设计源头确保安全”的进程已不可逆转。
🚀 想要体验更好更全面的AI调用?
欢迎使用青云聚合API,约为官网价格的十分之一,支持300+全球最新模型,以及全球各种生图生视频模型,无需翻墙高速稳定,文档丰富,小白也可以简单操作。
评论区