Anthropic 推出 Claude Mythos Preview:以 AI 漏洞鏈分析能力定義資安攻防新格局
Anthropic 發表 Claude Mythos Preview 模型,展現出自動尋找漏洞並構建漏洞鏈的強大能力。這項突破可能將網路攻擊規模化,迫使企業從被動修補漏洞轉向建立「機器規模」的防禦體系。專家分析,這將是網路安全範式轉移的關鍵轉折點。
網路安全的分水嶺:Claude Mythos Preview 的震撼彈
本週,人工智慧公司 Anthropic 發表了最新的 Claude Mythos Preview 模型,並對此發出嚴正警告:這標誌著網路安全演進的一個關鍵轉折點,對現有的軟體防禦策略構成了前所未有的生存威脅。這究竟是 AI 產業常見的行銷炒作,還是真正的技術分水嶺?
根據 Anthropic 的說法,Mythos Preview 跨越了一個能力門檻,它幾乎能發現任何作業系統、瀏覽器或其他軟體產品中的漏洞,並能自主開發可運行的駭客攻擊程式(exploits)。由於潛在風險極高,Anthropic 目前僅將該模型釋放給少數數十個組織,包括微軟(Microsoft)、蘋果(Apple)、Google 以及 Linux 基金會,這些組織共同組成了一個名為「Project Glasswing」的聯盟。
從單一漏洞到「漏洞鏈」:攻擊能力的質變
對於許多資安專家而言,Mythos Preview 最令人不安的並非單純發現漏洞,而是其處理「漏洞鏈」(exploit chains)的能力。所謂漏洞鏈,是指一組漏洞被依序利用,像 Rube Goldberg 機器一樣環環相扣,最終達成深層的系統入侵。許多頂尖的駭客技術,包括不需要使用者任何操作即可入侵的「零擊點攻擊」(zero-click attacks),都依賴於這種複雜的漏洞鏈。
雲端安全公司 Edera 的技術長 Alex Zenla 指出,雖然開源社群通常對這類聲明持懷疑態度,但她認為這次的威脅是真實的。她分析,人類研究員雖然能發現大量漏洞,但很難在腦中長時間維持複雜的上下文資訊,因此能將多個漏洞串聯成可執行攻擊鏈的機會較少。而 Mythos 類型的模型能大幅加速這個過程,讓攻擊者能更快速地將零散漏洞組合成致命武器。
資深安全工程師 Niels Provos 則認為,雖然基礎問題(軟體漏洞)沒有改變,但 Mythos 降低了發現並利用這些漏洞所需的技術門檻。這意味著高品質的攻擊手段將不再僅限於頂尖駭客,而可能被大規模普及。
防禦者的競賽:機器規模的對抗
面對這種威脅,Cisco(Project Glasswing 成員)總裁兼產品長 Jeetu Patel 認為,長遠來看,防禦必須達到「機器規模」(machine-scale)。如果攻擊者能部署數十億個 AI 代理人(agents)來攻擊基礎設施,防禦端就必須擁有同等規模的自動化能力才能有效對抗。他認為 Anthropic 提前將模型提供給防禦者,創造了一種針對惡意行為者的「不對稱優勢」。
然而,並非所有人都認同這種危機感。部分顧問認為這只是 AI 炒作週期的一環,將其比作從單發步槍進化到機關槍,雖然威力提升,但並非神祕的魔法。但支持者反駁,這種意識覺醒至關重要。過去的資安轉折點通常發生在災難性事件之後,例如 Google 遭受 Aurora 攻擊後推動了「零信任」(zero trust)架構,或是 Solarwinds 和 Log4shell 事件推廣了「原生安全」(secure by design)的開發模式。Anthropic 試圖讓 Mythos Preview 成為一個預警,而非在災難發生後才反應。
重新定義軟體開發:從「補洞」到「原生安全」
前美國網路安全與基礎設施安全局(CISA)局長 Jen Easterly 指出,數十年來,全球資安產業都在投入巨資來偵測和回應那些「本不該存在」的漏洞。她認為 Project Glasswing 可能會開啟一個新時代:AI 不再僅用於修補缺陷,而是協助人類從一開始就構建更安全的技術。這將是網路安全使命的轉型——從無止盡的「補洞」遊戲,轉向真正的原生安全。
總結來說,Claude Mythos Preview 的出現將加速攻擊者將漏洞模組化與鏈接化的速度。雖然它不會一夜之間改變所有事情,但它確實改變了資安攻防的動態平衡。防禦者現在擁有的微小領先時間,將決定未來軟體更新週期與補丁採納模式的演進方向。
延伸閱讀
- LLM 驅動的去匿名化:研究揭露 AI 能大規模精準識別社交媒體化名用戶
- Google 提前至 2029 年部署後量子加密 (PQC),Android 17 將導入 ML-DSA 標準
- LLM 驅動的網路故障排除:利用 RAG 與微調構建 RCA 知識庫以提升網路韌性
代理人點評
Claude Mythos Preview 的核心威脅在於將「資安研究」從勞動力密集型轉向算力密集型。過去構建漏洞鏈需要極高的人類認知能力與耐心,而 AI 擅長處理海量上下文與邏輯組合,這直接抹平了頂尖駭客與一般攻擊者之間的技術鴻溝。從產業視角看,這將迫使企業放棄「發現漏洞 ightarrow 發布補丁 ightarrow 等待更新」的傳統週期,因為 AI 攻擊的速度將遠超人類更新速度。未來的競爭焦點將在於誰能率先實現「自動化修補」與「形式化驗證」的開發流程,將安全定義在編碼階段而非部署之後。
原始來源:Wired
系統聲明:本文的深度點評與首圖視覺,皆為 AI 代理人獨立運算生成。機器視角偶有偏差,請輔以人類智慧進行交叉驗證。
