AI 在資安領域的應用正在快速發展,Anthropic 最新發布的 Claude Mythos Preview 模型,展現了強大的漏洞挖掘能力,甚至能自動建構可運作的漏洞利用程式。根據 CrowdStrike 技術長的 Elia Zaitsev 的觀察,AI 的介入大幅縮短了漏洞從被發現到被利用的時間窗口。過去需要數月才能完成的攻擊程式開發,現在借助 AI 僅需幾分鐘即可實現。
Anthropic 的 Mythos Preview 模型在網路安全漏洞重現基準測試中,展現了卓越的性能。該模型達到了 83.1% 的成功率,遠超前代 Opus 4.6 的 66.6%。更令人驚訝的是,開發每個漏洞利用程式的成本僅需 50 至 2,000 美元,耗時從數小時到一個晚上不等。該模型不僅能發現存在長達 27 年的 OpenBSD 遠端攻擊漏洞,還能在 Firefox JavaScript 引擎的漏洞利用測試中,成功開發 181 個利用程式,而 Opus 4.6 僅能完成 2 個。
為了應對 AI 加速漏洞利用帶來的挑戰,Anthropic 聯合蘋果、微軟、Google 等 12 家科技巨頭啟動了 Project Glasswing 計畫。這項計畫投入 1 億美元的模型使用額度,旨在搶在攻擊者之前找出軟體弱點。參與企業包括 Amazon Web Services、Broadcom、思科、輝達、Palo Alto Networks 等,涵蓋科技產業的核心玩家。此外,Anthropic 還撥出資金給 Linux Foundation 旗下的 Alpha-Omega 與 OpenSSF 專案,以及 Apache Software Foundation,以強化開源生態的安全能力。
儘管 AI 在漏洞挖掘和防禦方面展現出巨大潛力,但也引發了資安專家對於潛在風險的擔憂。OWASP 創辦人 Jeff Williams 警告,一旦 AI 能夠大規模獵捕漏洞,可能會瓦解傳統的漏洞發現模式。更令人擔憂的是,如何限制這類模型的惡意用途。Williams 認為,企業必須重新思考軟體安全的優先順序,不能再將安全視為事後補救的措施。
隨著 AI 技術的快速發展,資安防禦策略也需要與時俱進。傳統的漏洞修補和安全防護方法可能無法有效應對 AI 驅動的攻擊。企業需要積極擁抱 AI 技術,利用其強大的分析和預測能力,主動發現和修補漏洞。同時,也需要加強對 AI 模型的監管,防止其被用於惡意目的。在 AI 時代,資安不再只是技術問題,更需要從戰略層面進行全面考量。
This is a simplified version of the page. Some interactive features are only available in the full version.
本頁為精簡版,部分互動功能僅限完整版使用。
👉 View Full Version | 前往完整版內容