近期科技界焦點集中在 Anthropic 推出的 Mythos 模型,因其展現出極強的軟體漏洞挖掘能力,震驚了全球銀行、科技巨頭和監管機構,引發一場關於「AI賦能網路犯罪新時代」的恐慌。雖然 Mythos 的受控發布(Project Glasswing)旨在給企業預留修補的時間,但網路安全專家指出,這種高風險的攻擊能力並非首次出現。多數研究人員和安全公司發現,利用現有的、乃至更平價的模型,透過「協調(orchestration)」工作流程,已能重現 Mythos 發現的許多漏洞。
市場的爭議點在於,許多專家認為,AI 發現漏洞的能力早已普及化,核心價值不在於單一最先進的模型,而在於工作流的規模化協作。報導指出,雖然 Anthropic 強調 Mythos 的優勢在於能自動化產生「可運作的漏洞利用程式(exploits)」這一步,但這項能力本身,已被北韓、中國、俄羅斯等國家級駭客組織所掌握。
整體論點圍繞在一個結構性失衡:AI 正在以前所未有的速度、數量發現漏洞,但將這些漏洞修補(Vulnerability management)的作業本身,卻依然是極其緩慢、複雜且昂貴的「西西弗斯式任務」。業內人士警告,當前市場的關注點過度集中在「發現(Offense)」的爆炸性增長,而對「修復(Defense)」的流程性瓶頸卻描繪得模糊不清。此外,像 Mythos 這種受限釋出,更為市場帶來了「擁有者」與「缺乏者」的階級分化,可能阻礙整體安全生態系統的進步。
我的理解是,這場由 Mythos 引發的恐慌,其本質並非源於技術本身的新奇性,而是源於**知識與實力過度集中帶來的結構性失衡**。業界正在經歷一場「工具普及化」與「治理滯後化」的痛苦過渡期。當AI將攻擊的邊際成本(Barrier to entry)極度拉低時,市場的焦點本該從「能否發現」轉移至「誰能快速且可擴展地修復」。然而,目前的產業動向,卻將討論引向了對「最強大模型」的追逐,忽略了修復層面所需的標準化、民主化的安全操作流程。這種對「黑科技」的過度崇拜,恰恰是讓整個資安防禦體系最脆弱的環節。
原文網頁:Anthropic”s Mythos set off cybersecurity ”hysteria.” The threat was already here (by Hugh Son)
發佈留言