Anthropic 的 Mythos 將迫使網路安全迎來大清算——但並非你想像中的那種

Anthropic 本週表示，其新款 Claude Mythos Preview 模型的首次亮相標誌著網路安全演進的關鍵時刻，對現有的軟體防禦策略構成了前所未有的生存威脅。那麼，這究竟是又一次的 AI 炒作，還是真正的轉折點？

根據 Anthropic 的說法，Mythos Preview 跨越了能力的門檻，能夠發現幾乎任何作業系統、瀏覽器或其他軟體產品中的漏洞，並自主開發用於駭客攻擊的有效漏洞利用程式（exploits）。考慮到這一點，該公司目前僅將新模型發布給數十個組織——包括微軟、蘋果、Google 和 Linux 基金會——作為名為「鳥翼蝶計畫」（Project Glasswing）聯盟的一部分。然而，在多年關於生成式 AI 如何影響網路安全的推測之後，本週的消息引發了爭議：大洗牌是否真的已經到來，以及在實踐中會是什麼樣子。

有些人對 Anthropic 的說法持極度懷疑態度。他們認為，現有的 AI 代理已經能幫助用戶比以往更輕鬆、更便宜地發現和利用漏洞，而這一現實正推動公司改進發現和修補軟體的方式，並未從根本上改變範式。此外還存在一種令人反感的因素，即 Anthropic 將其最新模型定位為神秘、強大且獨有，幾乎肯定能從中獲得經濟利益。然而，其他研究人員和從業者則表示，他們同意 Anthropic 的評估，並指出該公司已說明 Mythos Preview 只是首個達到此類能力的模型，這些能力最終將在其他模型中廣泛普及。

「我通常對這些事情持非常懷疑的態度，開源社群也往往非常謹慎，但我從根本上覺得這是一個真實的威脅，」雲端安全公司 Edera 的技術長 Alex Zenla 表示。

Zenla 和其他人特別指出 Mythos Preview 的一項能力是轉折點。他們表示，生成式 AI 現在越來越擅長識別和開發所謂的「漏洞利用鏈」（exploit chains），即可以按順序利用的一組漏洞，從而深度入侵目標——這本質上是魯布·戈德堡機械（Rube Goldberg machine）式的駭客攻擊。許多最複雜的駭客技術都採用漏洞利用鏈，包括所謂的「零點擊」（zero-click）攻擊，這類攻擊無需用戶進行任何互動即可入侵系統。

「我們已經生活在一個公司運行著有漏洞的軟體、硬體，並在修補工作中掙扎的世界。許多公司沒有能力保護其基礎設施——這從昨天到今天並沒有真正改變，」資深安全工程師兼研究員 Niels Provos 表示。「但根據我的理解，Mythos 非常擅長構思多階段漏洞，並提供漏洞利用的證明。我不認為它從本質上改變了問題空間，但它改變了發現並利用這些漏洞所需的技能水平。」

Mythos Preview 僅向「鳥翼蝶計畫」參與者限量發布，這為防禦者提供了一段短暫的領先時間，讓他們能利用該模型發現自身系統的弱點，並在攻擊者廣泛獲得此類能力之前，開始更廣泛地應對軟體開發、更新週期和補丁採用需要做出的改變。

產業領袖似乎正在聽取這一警告。Anthropic 的前沿紅隊負責人 Logan Graham 週二告訴《連線》（WIRED），當公司在本週宣布消息前就「鳥翼蝶計畫」聯繫各組織時，通話時間變得越來越短，因為潛在的威脅正變得越來越明顯。

「這是一個涉及所有模型開發者的問題。我們的目標只是啟動這件事，」Graham 說。「讓 Mythos Preview 掌握在防禦者手中以爭取領先優勢，這是非常重要的。」

考慮 Mythos Preview 影響的人士遠不止科技公司。彭博社本週報導，美國財政部長 Scott Bessent 和聯準會主席 Jerome Powell 週二在華盛頓特區的財政部總部召集了金融業領袖會議，討論 Mythos Preview 等模型對網路安全的潛在影響。

思科（Cisco）總裁兼首席產品長 Jeetu Patel（該公司是「鳥翼蝶計畫」的成員）在舊金山舉行的 HumanX AI 大會上告訴《連線》，Mythos Preview 「是一件非常、非常重大的事情」。

「從長遠來看，你必須確保你的防禦是機器規模的，因為攻擊是機器規模的，」Patel 說。「如果我有數十億個代理要攻擊我的基礎設施，我需要確保我能有效地防禦。Anthropic 在這裡所做的是一件了不起的事情，因為它為對抗惡意行為者創造了一種不對稱性。」

儘管如此，仍有人認為這種狂熱被誇大了——這只是整體 AI 炒作週期的一個碎片。「這就像每一部義大利式西部片，大帳篷傳教士說末日近了，然後帶著大家的錢逃離小鎮，」資深安全與合規顧問 Davi Ottenheimer 說。「這是一種轉變，就像在別人都還在使用栓動步槍時學習如何用機關槍戰鬥，但這並非魔法或超自然現象。」

不過也有人認為，鑑於這些觀念轉變在所有行業和組織中普及需要很長時間，利用特定事件或進展作為提高意識的契機是有用的。其他的網路安全大洗牌發生在災難性入侵之後，例如對 Google 的「極光行動」（Aurora）攻擊凸顯了「零信任」架構的重要性，或者是 Solarwinds 和 Log4shell 的駭客狂潮推廣了軟體開發中「安全源於設計」（secure by design）的方法。Anthropic 認為，Mythos Preview 的首次亮相可以作為一種更審慎的轉折點，因為它仍是對未來可能發生情況的預警，而非現實世界中最壞情況的演示。

安全專家還表示，這個時機提供了一個解決當前軟體開發缺陷的機會。

「幾十年來，我們建立了一個龐大的全球產業來防禦、檢測和應對『漏洞』——即軟體中的缺陷和瑕疵——而這些漏洞本就不該存在，」資深網路安全從業者、前美國網路安全和基礎設施安全局（CISA）局長 Jen Easterly 週三寫道。她認為，「鳥翼蝶計畫」可能會開啟「一個 AI 幫助我們超越無休止地防禦缺陷軟體，轉向從一開始就構建更安全技術的未來。這不是網路安全作為一項使命的終結，而是我們所熟知的網路安全模式走向終結的開始。」

Edera 的 Zenla 強調，Mythos Preview 並非一夜之間改變一切的閃電。相反，她說，這是朝著安全版「無限猴子定理」（無限隻猴子在無限台打字機上最終能打出莎士比亞作品）邁出的又一步。

「如果你找來一百萬個漏洞研究員，他們能發現大量的漏洞。但人類並不擅長在腦中長時間保留大量的上下文資訊，因此發現真正可以串聯利用的極長漏洞鏈一直很罕見，」她說。「Mythos 和類似的模型將加速攻擊者將漏洞分組為協同工作套件的速度。有些人會對此感到不悅很長一段時間，但我確實認為動態已經發生了轉變。」

Maxwell Zeff 補充報導。