最強資安 AI 模型 Anthropic Mythos 引爆兩難,企業該跟進還是設防?
如果連政府都說不能用,但私下卻偷偷在用,這代表什麼?
近期美國國家安全局(NSA)傳出禁用Anthropic服務,卻偷偷測試最新資安AI模型Mythos,讓外界質疑,AI是否已強大到不想用也不行?對一般企業來說,這其實是很重要的提醒,過去我們可能以為,只要禁止某些工具或設定規範,就能降低資安風險,但現實沒那麼簡單。當AI能大幅提升防禦力甚至影響競爭力,企業更需要思考怎麼用才安全可控。
這起事件可觀察到一新趨勢:資安管理是在風險中做出最好的選擇。
Mythos為何讓人又愛又恨?
Mythos模型之所以引發如此大震撼,是因網路安全領域展現自動化攻防的極致。Anthropic指出,模型辨識軟體漏洞與編寫複雜腳本有突破性表現,Mythos可能數秒內發現人類耗時數月才能找到的零日漏洞(Zero-day vulnerabilities),並自動產生攻擊鏈。駭客若掌握此工具,能發動全自動化、高度適應性的網路攻擊;但反過來說,防禦方若能運用它,也能在第一時間修補漏洞,建立數位防線。
這種攻擊超強化與防禦超進化的雙重特性,正是NSA冒險偷用的誘因。對企業而言,這點出資安治理的新挑戰,AI工具的風險將是工具本身強大到足以顛覆整體的防禦架構。當競爭對手或駭客組織開始使用具自動代理的AI時,仍堅持傳統防禦、排斥新技術的企業,就如拿冷兵器對抗現代化部隊。
禁令無法解決的技術焦慮
過去企業的資安思維相對單純,遇到有風險的軟體就禁用,遇到不安全的工具就封鎖。但這起NSA事件,告訴我們當一項技術能帶來倍數級的生產力或防禦力時,禁令往往只會促使員工或部門轉入地下化使用,反而造成更難管控的安全死角。企業真正應該檢視的,是權限控管與資料分類的結構性缺失。以Anthropic與五角大廈的爭議為例,雙方的核心矛盾在於存取權限,與用途限制。如果企業無法建立一套以最小權限,與全程監控為核心的AI使用架構,再多的政策規範也難以阻擋技術擴散帶來的風險。資安治理應是引導技術安全運作、異常行為可追溯的導流系統。
建立AI安全使用的治理原則
這起紛爭提醒企業,數位轉型常態化,資安管理是在風險下能做的最好選擇。企業決策者必須跳脫傳統禁用的鴕鳥思維,改以控管取代禁止,承認強大AI的滲透是必然趨勢。首要任務是建立受控的沙盒(Sandbox)測試環境,將資安AI納入供應鏈風險評估,確保封閉環境完成效能與安全性鑑定。
當AI工具具自動執行任務的代理功能,傳統帳號密碼保護形同虛設,企業應針對AI行為建立追蹤基準,一旦系統偵測到非典型的資料存取或異常程式發布,必須有即時斷電(Kill Switch)阻斷權限,將損害降至最低。
最後,面對AI技術如Mythos每數月即大幅更新的狀況,資安政策必須從年度審查轉向動態合法,針對模型最新自動性與開發力,即時調整監控指標與授權邊界,確保治理架構能追上技術演進的速度。
這場美國最高情報機關上演的科技角力,是所有企業的縮影,告訴我們資安防護應由嚴謹的制度與可驗證的技術支撐。面對Mythos這樣的強大模型,企業該跟進還是設防?答案或許是:設防制度下,更有策略地跟進。真正的資安領導力,在能辨識風險同時,建立起讓AI無法反噬的治理架構,才能在自動化攻擊的洪流中立於不敗之地。
(首圖來源:AI)