摘要 : Anthropic發現其新模型Claude Mythos Preview在測試中能自動發現並串聯漏洞,已找出千餘缺陷,與AMZN、AAPL、MSFT、NVDA等合作啟動Project Glasswing強化防護。
新聞 : 開場(引發興趣) 人工智慧不只改變生產力,也正重新定義資安戰場。Anthropic在內部測試中驚覺最新版語言模型Claude Mythos Preview能自動發現並串聯軟體漏洞,結果促成了名為Project Glasswing的資安計畫,並吸引Amazon、Apple、Microsoft與Nvidia等合作夥伴共同行動——但這同時也暴露了AI可能成為攻擊工具的危險性。
背景與事實 Anthropic表示,Claude Mythos Preview在測試期間「意外」展現強大的漏洞偵測與利用能力,該模型已找出數千處現有程式與應用中的弱點,涵蓋主流作業系統與網頁瀏覽器。公司因此未將該模型公開,主因是必須先建立能阻擋「最危險輸出」的資安防護。Project Glasswing旨在透過此模型協助合作企業在對手獲得同等或更強大模型前,先行偵測與修補漏洞。
具體案例 Anthropic舉例指出,Claude Mythos Preview能夠串聯數個Linux漏洞,達成讓一般使用者提升至系統完全控制的攻擊鏈;Linux作為許多網路基礎服務的核心,其漏洞被連結利用的風險極高。另有安全研究者發現,開源專案與AI訓練生態鏈也曾傳播惡意程式碼──研究人員在LightLLM等專案的流動中追蹤到由AI協助撰寫的惡意軟體,顯示攻防雙方皆在嘗試利用AI擴大影響力。
深入分析與專家觀點 資安專家警告,AI為攻擊者開啟了「戲劇性」的新入口。馬裡蘭大學技術治理中心研究教授Charles Harry指出,AI增加了系統複雜度,攻擊面隨之擴大;喬治城大學安全與新興科技中心的資深研究員Andrew Lohn則強調,AI驅動的程式碼生成會產生更多程式碼,進而可能導致更多未經充分檢視的漏洞。兩位專家均認為,雖然AI可以強化防禦,但防守方必須迅速提升能力,否則將陷入劣勢。
反駁替代觀點 有人主張AI主要是資安的利器,能自動掃描與修補漏洞,縮短偵測時間。然而事實顯示:一方面AI能加速漏洞發現與回應,另一方面攻擊者也可利用AI生成更複雜、難以偵測的惡意程式或攻擊鏈;此外,AI生成的程式若未經嚴格驗證,本身亦可能內含錯誤或後門,反而增加風險。因此單純倚賴AI並非萬靈丹,需配套治理與人為把關。
相關風險與例項 Anthropic近期亦發生過程式碼外洩事件,公司表示該事件源於人為疏失而非惡意入侵,但此事凸顯在追求速度與創新時,供應鏈與內部控管的脆弱。另有研究者發現的「AI生成惡意程式」,因內含錯誤才被發現,指出攻擊方雖可利用AI放大規模,但錯誤仍可能暴露其活動;同時,這也意味著攻守雙方都將在AI工具導入後面臨新的攻防博弈。
政策與業界建議(行動呼籲) 面對AI帶來的雙刃劍效應,專家與產業應採取多管齊下策略:強化軟體供應鏈安全、匯入AI紅隊(red-teaming)與模型輸出過濾、建立跨公司漏洞情資共享機制、提升開發者與運維的安全訓練,以及由政府與產業協作制定AI資安準則與合規門檻。企業在追求AI應用時,應放慢發布節奏並加強第三方安全審查,以避免「速度換風險」。
總結與展望 AI既能成為資安防線上的利器,也可能變成放大弱點的助攻手。未來可預見的是一場持續的攻防競賽:資安防守方若能把握AI優勢、同時建立嚴謹的治理與檢測流程,將有機會把風險降到可控範圍;反之,忽略供應鏈安全與模型濫用風險的企業則可能在下一波漏洞潮中首當其衝。短期內,企業、研究機構與監管者需快速協調、共享情報,並優先資源投入AI-aware的安全實務,以因應這場新型態的資安挑戰。
點擊下方連結,開啟「美股K線APP」,獲得更多美股即時資訊喔!
https://www.cmoney.tw/r/56/9hlg37
免責宣言
本網站所提供資訊僅供參考,並無任何推介買賣之意,投資人應自行承擔交易風險。
