網路安全現已演變為一種工作量證明機制

背景

Anthropic 最近展示了專為網路安全設計的新型模型 Mythos，其在自動化漏洞挖掘與網路攻擊模擬中展現出驚人實力。根據英國 AI 安全研究院（AISI）的測試，Mythos 在複雜的 32 步驟攻擊任務中表現優異，且其成功率與投入的 Token 預算呈現正相關，這引發了網路安全是否正演變為一種「工作量證明」（Proof of Work）模式的討論，即防禦者必須投入比攻擊者更多的運算資源來加固系統。

社群觀點

Hacker News 的討論圍繞著這種「Token 競賽」是否真的改變了安全本質，還是僅僅降低了既有技術的成本。部分資深安全從業者認為，網路安全本質上一直都是資源投入的博弈，LLM 的出現只是改變了價格標籤。有觀點指出，雖然 AISI 的報告顯示 Token 預算增加能提升攻擊成功率，但這在簡單的單一程式庫中可能存在邊際效應遞減，攻擊者在面對結構簡單、經過形式驗證或嚴格簽署機制的系統時，單純堆疊 Token 可能無法突破邏輯上的硬傷。

支持者認為防禦方在這種新經濟模式中佔有不對稱優勢。防禦者擁有完整的原始碼、Git 歷史紀錄、內部文件以及開發者的直接協助，這使得他們在加固系統時的 Token 使用效率遠高於必須從外部進行逆向工程的攻擊者。然而，這種樂觀情緒也遭到質疑，有留言擔心一旦開發者的電腦被攻破導致原始碼外洩，攻擊者便能利用 LLM 在數小時內完成全自動化的權限提升審計，這將使企業陷入如同「黑暗森林」般的險峻環境。

關於開發流程的轉變，社群對 Andrej Karpathy 提倡的「以 AI 複製功能取代外部依賴」看法兩極。雖然這能減少供應鏈攻擊的風險，但也有人引用 Go 語言的格言提醒，少量的複製確實優於盲目的依賴，但這並非 AI 時代才有的新發現。更深層的爭論在於，這種自動化趨勢是否會引導軟體工程走向形式驗證。如果 LLM 能處理撰寫數學證明的枯燥工作，或許能從根本上消除漏洞，讓攻擊者無 Token 可燒。

最後，部分實踐者分享了嘗試複現類似成果的經驗，發現雖然 LLM 能找出大量潛在漏洞，但往往在最後的漏洞利用階段將「嚴重漏洞」降級為「不可利用的中度風險」。這顯示出目前 AI 在處理複雜邏輯鏈結時仍有極限，網路安全是否真的會完全淪為純粹的運算力競賽，仍取決於模型是否能突破從「發現問題」到「有效利用」之間的邏輯鴻溝。

延伸閱讀

在討論中，參與者提到了 Tony Hoare 關於軟體設計複雜度的經典名言，以及 Go 語言中關於依賴管理的格言（Go Proverbs）。此外，針對 AI 在安全領域的應用，Google 的 Project Zero 與 Big Sleep 專案也被視為觀察前沿動態的重要參考。對於希望從根本解決安全問題的讀者，留言中多次提及形式驗證（Formal Verification）作為對抗自動化攻擊的終極手段。