Anthropic 最新 AI 模型揭發軟體防禦漏洞

編輯評論

Anthropic 這次釋出的 Claude Mythos 訊息，標誌著 AI 在網路安全領域的應用邁入了新的階段。從區域市場的角度來看，這項發展對東南亞企業，尤其是馬來西亞數據中心與金融服務業，帶來了雙重啟示。

一方面，馬來西亞正積極發展數位經濟，政府推動的 MyDIGITAL 戰略將資安與雲端基礎建設列為優先項目。Claude Mythos 展現的漏洞挖掘能力，若能透過 Glasswing 這類合作計畫引入本地，將有助於提升馬來西亞整體的資安防護水準。特別是在數據中心運營方面，如同日 Bridge Data Centres 因美方懷疑英偯晶片走私而切斷與某東南亞公司合作的事件，顯示了供應鏈安全的重要性。AI 輔助的漏洞檢測或許能提供新的監督層次。

另一方面，這項技術的「雙面刃」特性不容忽視。Anthropic 選擇不公開發布 Mythos，而是僅與受信任的防禦者共享，這反映了 AI 能力擴張所帶來的地緣政治風險。美國白宮曾在 2 月發布終止與 Anthropic 合約的命令，雖遭法院暫停執行，但這顯示了先進 AI 技術已經成為國家安全層級的議題。對馬來西亞而言，如何在引進先進 AI 技術的同時，確保主權與數據安全，將是一項重要挑戰。

從投資角度來看，網路安全 AI 市場預期將加速成長。CrowdStrike 與 Palo Alto Networks 等資安巨頭的參與，以及 Cisco 對於「防禦窗口期」已從數月縮短至分鐘級別的警告，都說明了企業對 AI 驅動的防禦工具需求迫切。馬來西亞本地創新與創投圈可以關注這個趨勢，特別是在 AI 輔助的漏洞掃描、威脅偵測等利基市場。

結論摘要

• Claude Mythos 發現了數千個常用應用程式中的漏洞，其中最古老的漏洞可追溯至 27 年前，且這些漏洞在此之前都未被發現。
• Anthropic 選擇不向公眾發布此模型，而是透過 Project Glasswing 與約 40 個組織合作，包括 CrowdStrike、Palo Alto Networks、Amazon、Apple、Microsoft 等。
• AI 模型已達到可以超越大部分人類尋找與利用軟體漏洞的能力，這對經濟、公共安全與國家安全構成潛在嚴重影響。
• 網路攻擊的時間窗口已大幅縮短，從原本的數月縮短至 AI 時代的數分鐘，使得防禦與攻擊之間的競賽進入新的階段。
• Anthropic 提供約 1 億美元的運算資源，並與美國政府討論 Mythos 的相關事宜，儘管白宮 2 月曾發布終止與該公司合約的命令。

原文翻譯

AI 新創公司讓網路安全專家與開源社群工程師使用 Claude Mythos 作為防禦武器

紐約訊：Anthropic 昨日表示，其尚未發布的人工智慧（AI）模型 Claude Mythos 已證明在揭露軟體弱點方面表現出色。

Mythos 揭露了數千個常用應用程式中的漏洞，而這些漏洞都沒有補丁或修復方案，促使這家舊金山 AI 新創公司與網路安全專家結盟，以強化對駭客攻擊的防禦。

「我們有一個新模型，我們明確地不向公眾發布，」Anthropic Labs 的 Mike Krieger 在舊金山舉行的人類 X AI 會議上表示。

相反地，Anthropic 讓網路安全專家與開源社群的工程師使用 Mythos，將該模型作為防禦武器——「某種程度上提前武裝他們」，Krieger 解釋道。

AI 模型能力的飛躍進步，也引發了人們擔心駭客可能使用這類工具來破解密碼或破解旨在保護資料安全的加密技術。

根據 Anthropic 的說法，Mythos 發現的最古老漏洞可追溯至 27 年前，而且在被 AI 模型指出之前，這些漏洞顯然都未被其製造商注意到。

Mythos 是 Anthropic 的 Claude AI 系列的最新一代產品，而近期其部分程式碼的洩漏，促使該新創公司發布了一篇部落格文章，警告其構成了前所未有的網路安全風險。

「AI 模型已經達到了一種編碼能力水準，在尋找與利用軟體漏洞方面，它們可以超越除了最高技巧人類以外的所有人，」Anthropic 在部落格文章中表示。

「其後果——對經濟、公共安全與國家安全而言——可能非常嚴重，」該公司指出。

根據 Anthropic 的說法，Mythos 揭露的軟體漏洞通常很微妙，若沒有 AI 很難檢測出來。

舉例來說，該公司表示，Mythos 在一款影片軟體中發現了一個之前未被注意到的缺陷，而該軟體已經被其創造者測試超過 500 萬次。

Project Glasswing

作為預防措施，Anthropic 與網路安全公司 CrowdStrike 和 Palo Alto Networks，以及 Amazon、Apple 和 Microsoft 共享了 Mythos 的版本，該計畫被稱為「Glasswing」。

網路巨頭 Cisco 與 Broadcom 也參與了該計畫，此外還有推廣免費開源 Linux 作業系統的 Linux 基金會。

「這項工作太重要也太緊急，無法獨自完成，」Cisco 的首席安全與信任官員 Anthony Grieco 在一份關於 Glasswing 的聯合新聞稿中表示。

「AI 能力已經跨越了一個門檻，從根本上改變了保護關鍵基礎設施免受網路威脅所需的緊迫性，而且已經無法回頭了，」Grieco 說。

據稱，約有 40 個參與電腦系統設計、維護或運作的組織加入了 Glasswing。

Anthropic 表示，計畫合作夥伴將分享他們的 Mythos 發現，而 Anthropic 則為該任務提供了約 1 億美元的運算資源。

根據 Grieco 的說法，早期與 AI 模型的合作顯示，它們可以幫助以前所未有的速度和規模發現並修復軟體與硬體漏洞。

「從漏洞被發現到被敵人利用之間的窗口已經崩塌——原本需要數月的時間，現在有了 AI 只需要幾分鐘，」CrowdStrike 的 CTO Elia Zaitsev 表示。

「Claude Mythos Preview 展示了防禦者現在可以實現的規模，而敵人不可避免地會尋求利用相同的能力，」Zaitsev 說。

Anthropic 表示，儘管白宮在 2 月發布了一項終止與該新創公司所有合約的命令，但該公司仍與美國政府討論了關於 Mythos 的事宜。

該指令已被一名聯邦法院法官暫停執行，而 Anthropic 提起的法律挑戰仍在法院程序中進行。