CB科技站

    最新消息:关注人工智能 AI赋能新媒体运营

    Anthropic 发布最强模型 Mythos,专攻历史漏洞修复

    科技资讯 admin 浏览

    Anthropic发布新一代AI模型Mythos,网络安全圈为之震动

    当地时间周二,人工智能公司Anthropic正式发布了其最新一代模型Mythos的预览版本。这款模型并非面向大众的聊天机器人,而是专为代码安全分析设计的“智能扫描引擎”。内部团队称它为“迄今最强”,而外界的安全专家则用“可怕”来形容它的能力。

    在为期数周的封闭测试中,Mythos在没有人工干预的情况下,自主发现了超过3,000个此前未被公开的软件漏洞,其中近四分之一被评定为“高危”或“严重”级别。更令人惊讶的是,它不仅找到了新代码中的问题,还精准定位了大量存在于十多年前遗留系统中的“沉睡漏洞”——这些漏洞曾被无数工程师忽略,甚至在某些开源项目中已存在近二十年。

    目前,Mythos的使用范围严格受限,仅用于扫描企业自有系统和主流开源项目(如Linux内核、OpenSSL、Kubernetes等)的代码库。其目标不是攻击,而是提前发现并报告隐患,帮助组织在黑客利用前完成修复。

    image.png

    谁在用?苹果、微软、亚马逊都在试用

    由于Mythos的能力远超传统静态分析工具,Anthropic并未开放公众下载或API访问。相反,他们启动了一个名为“Project Glasswing”的保密项目,仅向少数几家全球顶级科技公司和网络安全厂商提供有限试用权限。

    据知情人士透露,参与测试的机构包括Apple、Microsoft、Amazon、Cisco、CrowdStrike、Google Cloud和Meta。这些公司均在内部部署了Mythos,用于检测其核心服务、云基础设施和供应链组件中的潜在风险。一位不愿具名的微软安全工程师表示:“它在三天内发现了一个我们团队三年都没注意到的内存越界问题——就在一个没人再维护的第三方库中。”

    美国国土安全部和国家网络安全与基础设施安全局(CISA)也已介入,与Anthropic展开非公开会谈,探讨该技术是否可用于保护联邦关键基础设施——如电网、交通控制系统和税务系统。但目前尚无任何政府机构正式接入。

    一场“乌龙”让Mythos提前曝光

    Mythos的亮相,其实源于一次意外。上个月,《财富》杂志披露,Anthropic一份内部博客草稿——代号为“Capybara”(水豚)——被错误上传至公开的数据存储平台。这份草稿原本只是团队内部的技术回顾,却意外泄露了大量敏感信息。

    草稿中写道:“如果这个模型被用于恶意目的,它可以在数小时内扫描全球公开代码库,找到成千上万个可利用入口,而防御方的补丁流程平均需要47天。”这句话迅速在安全圈传播,引发恐慌与热议。许多开发者开始重新审视自己多年前写下的“临时方案”和“凑合能用”的代码。

    Anthropic随后删除了该文件,并向受影响的开源项目发送了修复建议。但为时已晚——漏洞情报早已被多个安全研究组织存档,部分漏洞编号已在CVE数据库中登记。

    争议:它到底是盾,还是矛?

    随着Mythos的影响力扩大,争议也随之而来。美国国防部在一份内部备忘录中将Anthropic列入“供应链风险实体”,理由是该公司“拒绝配合军事用途开发”。据《防务新闻》报道,五角大楼曾多次请求Anthropic协助开发自动化渗透测试系统,用于模拟敌方攻击,但遭到拒绝。

    “我们不是为战争设计工具,”Anthropic联合创始人Dario Amodei在一次闭门会议上表示,“我们的目标是让互联网更安全。如果一个模型能发现漏洞,它就该被用来修复,而不是被用来制造更多。”

    但问题依然存在:谁来监管这种能力?如果一家黑客组织或国家支持的团体复制了类似技术,后果会怎样?目前,全球尚无针对“自主漏洞发现AI”的法律框架。欧盟正在起草《AI安全工具监管草案》,而美国国会的科技委员会也已安排听证会,计划于今年秋季讨论是否应将此类模型纳入“高风险AI系统”清单。

    现实影响:你的代码,可能早就被它看穿了

    你可能没听说过Mythos,但你使用的软件,很可能已经因为它而变得更安全。

    开源社区的维护者们已经开始收到由Mythos发现并匿名提交的漏洞报告,部分已获官方确认并发布补丁。例如,一个影响Apache HTTP Server 2.4.52的缓冲区溢出问题,就是通过Mythos的扫描被发现,并在24小时内修复——比传统漏洞披露流程快了近三周。

    但与此同时,一些中小型企业和个人开发者也开始感到不安:他们从未主动申请测试,却在GitHub上收到“来自未知来源”的安全提醒,提示其仓库中存在“潜在高危漏洞”。有人质疑:这是善意的援助,还是无声的监控?

    Anthropic回应称,所有扫描均基于公开代码,不访问私有仓库,不收集用户数据,所有报告均通过官方漏洞披露平台提交。但他们也承认:“我们无法控制别人会不会复制我们的方法。”

    未来:安全竞赛,已进入机器时代

    过去,网络安全靠的是经验丰富的工程师、日复一日的代码审查和缓慢的补丁流程。今天,一台AI模型能在几小时内完成人类团队数年的工作。

    Mythos的出现,不是科幻,而是现实的加速。它不创造漏洞,但它比任何人都更清楚漏洞在哪。当机器比我们更懂我们自己写下的错误,安全的定义正在改变——不再是“我们有没有被攻破”,而是“我们有没有在被攻破前,被机器提醒过”。

    这场无声的竞赛,已经开始了。而你,或许只是还没意识到,你的代码,早已在它的视野里。

    AI安全漏洞挖掘Mythos代码扫描

    与本文相关的文章