Anthropic發布資安模型Claude Mythos!3小時寫出攻擊程式碼,還翻出27年陳年漏洞
重點一:Anthropic 發布專為資安設計的 Claude Mythos Preview 模型,已發現數千個關鍵漏洞,包括藏了 27 年的 OpenBSD 遠端攻擊漏洞。
重點二:Anthropic 聯合蘋果、微軟、Google 等 12 家企業啟動 Project Glasswing 計畫,投入 1 億美元(約新台幣 31.9 億元)模型使用額度,搶在攻擊者之前找出軟體弱點。
重點三:資安專家警告,當 AI 能大規模獵捕漏洞,如何防止同樣能力被惡意利用,將成為最大挑戰。
Anthropic 於 4 月 8 日發布專為網路安全打造的前沿模型 Claude Mythos Preview,並同步啟動代號「Project Glasswing」的產業聯防計畫。
據 Anthropic 官方公告,該模型已發現數千個橫跨所有主要作業系統與瀏覽器的關鍵安全漏洞,其中包括一個存在 27 年的 OpenBSD 遠端攻擊漏洞,以及一個自動化測試在 500 萬次嘗試中都未能觸發的 16 年 FFmpeg 漏洞。
在網路安全漏洞重現基準測試中,Mythos Preview 達到 83.1% 的成功率,大幅超越前代 Opus 4.6 的 66.6%。
更關鍵的是成本結構:根據 Anthropic 紅隊部落格揭露的技術細節,每個漏洞利用程式的開發成本僅 50 至 2,000 美元(約新台幣 1,600 至 63,800 元),耗時從數小時到一個晚上不等。
蘋果、微軟、Google 全入列,12 家巨頭組資安聯防
Project Glasswing 的合作名單涵蓋科技業核心玩家:Amazon Web Services、蘋果(Apple)、Broadcom、思科(Cisco)、CrowdStrike、Google、摩根大通(JPMorganChase)、Linux Foundation、微軟(Microsoft)、輝達(NVIDIA)、Palo Alto Networks,加上 Anthropic 自身共 12 家。另有超過 40 個維護關鍵軟體基礎建設的組織也獲得模型存取權限。
資金方面,Anthropic 提供 1 億美元(約新台幣 31.9 億元)的模型使用額度給計畫參與者,並分別撥出 250 萬美元(約新台幣 7,975 萬元)給 Linux Foundation 旗下的 Alpha-Omega 與 OpenSSF 專案,以及 150 萬美元(約新台幣 4,785 萬元)給 Apache Software Foundation,強化開源生態的安全能力。
CrowdStrike 技術長 Elia Zaitsev 在公告中指出:「漏洞從被發現到被利用的時間窗口已經崩塌,過去需要數月的事,現在用 AI 只需幾分鐘。」
思科資安副總裁 Anthony Grieco 也表示,AI 能力「已跨越門檻,從根本上改變了保護關鍵基礎建設的緊迫性」。計畫承諾在 90 天內公開報告成果與修復的漏洞。
防禦利器還是潛在武器?專家點出核心矛盾
Anthropic 紅隊的技術報告進一步揭示 Mythos Preview 的進階能力:它能自動建構可運作的漏洞利用程式,包括針對 FreeBSD NFS 一個 17 年漏洞開發出多封包 ROP chain 攻擊,達成未授權 root 存取;也能串連多個 Linux kernel 漏洞完成提權,甚至突破瀏覽器的 JIT 引擎與沙箱防護。
在 Firefox JavaScript 引擎的漏洞利用測試中,Mythos Preview 成功開發 181 個利用程式,Opus 4.6 僅完成 2 個。
但這樣的能力也引發質疑。OWASP 創辦人 Jeff Williams 接受 CSO Online 採訪時警告:「一旦前沿 AI 能大規模獵捕漏洞,付錢讓人做例行發現的邏輯就開始瓦解。」
他更直言:「Anthropic 能否限制這個模型的惡意用途,是高度存疑的。」Williams 認為,這類模型真正威脅的是整個「安全可以當事後補救」的觀念,當 AI 能在一夜之間找到並武器化漏洞,企業必須從根本上重新思考軟體安全的優先順序。
目前 Mythos Preview 已揭露的漏洞中,僅約 1% 已修補到可公開討論的程度,Anthropic 採用 SHA-3 雜湊承諾機制,並設定 90 加 45 天的負責任揭露窗口。
資料來源:Anthropic 官方公告、CSO Online、Anthropic Red Team Blog
本文初稿為AI編撰,整理.編輯/李先泰
延伸閱讀
蘋果首款摺疊機難產?供應鏈爆工程驗證卡關,9月發佈恐成「超級限量版」
觀點|萬物皆漲的通膨時代來了:記憶體大賺,手機、PC、電玩為何景氣急凍?
「加入《數位時代》LINE好友,科技新聞不漏接」