Mythos 已经扫描了大量开源项目,发现的安全漏洞数量可观。其中,一个在 OpenBSD 中存在数十年的安全缺陷在此前的手动审查中始终未被发现。Mythos 不仅能识别漏洞,还能自动构建利用代码,可用于创建钓鱼网站或实施证书伪造攻击。这种全自动的漏洞发现与利用能力,意味着传统的安全审计流程正在发生根本性改变。
自动化的漏洞发现与武器化风险
Mythos 的强大之处在于它不仅能发现漏洞,还能将漏洞转化为可用的攻击代码。据 Anthropic 披露,该模型在测试中扫描了数以万计的开源项目,成功挖掘出大量此前未被发现的漏洞。其中最典型的案例是 OpenBSD 中一个存在数十年的安全缺陷——该缺陷在长期的手动安全审查中始终未被察觉。Mythos 还展示了构造利用代码的能力,可用于搭建逼真的钓鱼网站或实施证书伪造攻击,这大大降低了漏洞利用的技术门槛。
面对如此强大的能力,Anthropic 坦言没有人——包括自身——已经建立了足够的安全护栏来阻止该模型被恶意使用。这种“能制造最锋利的剑但剑鞘尚未完工”的处境,使得 Mythos 在尚未正式公开时就已引发关于 AI 安全的激烈辩论。
管控困境与开放计划
为了降低风险,Anthropic 对 Mythos 的访问实施了严格限制,目前仅向经过审查的组织开放。然而,即便在这种管控下,内部安全失误仍然导致了未授权访问事件的发生。一些开源项目的维护者甚至请求 Anthropic 放慢漏洞披露速度,因为他们缺乏足够的人力来及时修补 Mythos 不断刷出的漏洞。
Anthropic 对模型版本做了明确区分:当前推出的“Mythos Preview”将永不向公众开放,而计划未来发布的版本(具体名称未公布)则会在开发出所谓“远更强大的防护”后向公众开放。但公司并未给出具体时间表,也没有说明“远更强大的防护”究竟需要具备哪些技术特征。这种模糊性使外界对模型的安全前景难以判断。
与此同时,日本、印度等国家的政府已经下令对 Mythos 进行紧急安全审查。网络安全公司的股价在 Mythos 能力曝光后出现下跌。一些政府基于国家安全考虑,已经阻止了拟议中的访问扩展计划。这些迹象表明,Mythos 的影响已经超出了技术层面,开始直接触及监管与国际安全议题。
Mythos 的出现标志着漏洞发现竞赛正式迈入算法化阶段。安全团队可能很快需要借助 AI 工具才能跟上同样使用 AI 的攻击者步伐。然而,在防护能力得到充分验证之前,这类强大工具能否被安全且广泛地获取,仍是悬而未决的问题。
本文参考来源:Gadget Review
微信扫描下方的二维码阅读本文
