機械人
Anthropic披露,旗下Project Glasswing推出一個月,約50個夥伴用Claude Mythos Preview在軟件中找到逾1萬個高危或嚴重保安漏洞。今次最值得留意的,不只是AI找漏洞速度加快,而是行業已由發現漏洞,轉到核實、通報和修補。公司解釋,按軟件業常見做法,新漏洞通常在發現後90日才公開,若修補程式較早完成,則約在修補推出45日後公開,因此目前只能披露部分例子和整體數字。
在參與計劃的企業中,Cloudflare在關鍵系統找到2,000個漏洞,其中400個屬高危或嚴重,團隊認為誤報率較人工測試更低。Mozilla測試Mythos Preview時,在Firefox 150找到並修補271個漏洞,數量較早前用Claude Opus 4.6檢查Firefox時多逾10倍。英國AI安全研究所的測試亦顯示,Mythos Preview是首個完成其兩個多步網絡攻擊模擬測試的模型。Anthropic披露,有夥伴銀行利用Mythos Preview發現並阻止一宗150萬美元匯款詐騙,反映該模型不只用於找程式漏洞。
開源軟件方面,Anthropic過去數月用Mythos Preview掃描逾1,000個項目,模型估算有逾6,000個高危或嚴重漏洞。經獨立保安研究公司及Anthropic評估後,已抽查個案約九成證實是真漏洞,當中不少最終被確認達高危或嚴重程度。已修補的wolfSSL漏洞是其中例子,按Anthropic說法,Mythos Preview製作出可偽造證書的攻擊方法,可能令攻擊者架設看似可信的銀行或電郵網站。
可是,真正拖慢進度的是人手。Anthropic已向維護者通報數百個高危或嚴重漏洞,但已完成修補的仍只佔少數,部分開源維護者同時要處理大量AI生成的低質素報告,已要求Anthropic放慢通報速度。Anthropic估計,Mythos Preview找到的高危或嚴重漏洞平均需要兩星期修補,這令保安團隊既要加快更新,又要分辨哪些AI報告值得處理。
Anthropic認為,其他AI公司將會開發出與Mythos Preview能力相近的模型。若未有足夠保護便公開,找出和利用軟件漏洞的成本會大幅下降。Anthropic暫時仍然不會公開Mythos模型,下一步會與美國及盟友政府等關鍵夥伴擴大Project Glasswing,並向合資格客戶提供掃描用自訂指令、程式碼檢查工具,以及協助判斷哪些程式部分最容易被攻擊的工具。對軟件開發者和用戶而言,開發團隊現在要縮短修補時間,用戶和企業保安也要更快安裝更新、加強多重認證和保留完整系統記錄,否則AI找出漏洞的速度愈快,承受的風險就愈高。
