Anthropic发布了他们的神话模型Claude Mythos Preview但是不让你用。为啥啊他们说人类社会运转的基础设施正经受前所未有的考验数字世界的安全防线面临被机器智能全面破解的风险。于是Anthropic发起了玻璃翼Project Glasswing计划。联合科技巨头用Claude Mythos Preview抢在破坏者之前修复全球软件漏洞。攻防互换大众每天依赖的软件系统支撑着银行运转存储着医疗记录连接着物流网络维持着电网运行。软件从诞生起便伴随着代码漏洞。部分微小瑕疵无足轻重极少数严重的安全缺陷一旦被发现网络攻击者便能劫持系统破坏关键操作甚至大肆窃取核心数据。全球各地的企业网络医疗系统能源基础设施交通枢纽乃至政府机构的信息安全早已经受过网络攻击的严重破坏。国家级的网络攻击活动不断威胁着支撑平民生活和军事准备的基础设施。针对个别医院或学校的较小规模攻击依然会造成巨大的经济损失暴露大众的敏感数据危及病患与民众的生命。统计数据显示全球每年因网络犯罪造成的经济损失可能高达5000亿美元。许多软件缺陷隐匿多年未被察觉。发现并利用相关缺陷需要极高的专业知识通常只有极少数顶尖安全专家才能做到。随着最新前沿人工智能模型的出现发现和利用软件漏洞所需的成本精力和专业水平大幅下降。过去一年里人工智能模型在阅读和推理代码方面变得越来越高效在发现漏洞并找出利用方法上展现出突出的能力。Claude Mythos Preview在这方面显著飞跃。它发现的漏洞有些已经历经数十年的人工严格审查和数百万次自动安全测试。它独立开发出的漏洞利用程序越来越复杂。美国国防高级研究计划局举办首次网络大挑战赛十年后前沿人工智能模型在发现和利用漏洞方面已经开始与最顶尖的人类专家激烈竞争。缺乏必要护栏的情况下强大的AI网络能力会被别有用心者用来攻击全球关键软件中存在的众多缺陷。各类网络攻击会变得更加频繁和具破坏性。解决这些问题成为各个国家至关重要的安全优先事项。人工智能辅助网络攻击带来的风险十分严重。为了将前沿能力用于防御目的Anthropic发起了玻璃翼计划Project Glasswing。参与该计划的联合创立伙伴阵容豪华包括亚马逊云服务苹果博通思科谷歌摩根大通Linux基金会微软英伟达派拓网络Palo Alto Networks以及安全公司CrowdStrike等十二家顶级机构。隐秘角落过去几周内安全研究团队使用Claude Mythos Preview找出了数千个零日漏洞。零日漏洞指软件开发者此前完全未知且尚未发布补丁的严重安全缺陷。被发现的大部分缺陷存在于各大主要操作系统和网络浏览器以及一系列其他关键底层软件中。模型能够完全自主地识别几乎所有缺陷并开发相关利用程序全过程不需要任何人类工程师的引导。开放式伯克利软件发行版OpenBSD一直被公认为世界上安全性最高的操作系统之一广泛用于运行网络防火墙和其他关键基础设施。模型在该系统中发现了一个存在27年之久的底层漏洞。攻击者只需连接到运行相关操作系统的计算机就能远程使其崩溃造成不可估量的破坏。音视频转换器FFmpeg被无数软件用于视频图像的编码和解码处理。模型在其中发现了一个隐藏16年的深层漏洞。相关代码行曾经被自动化测试工具运行过500万次自动化工具从未发现任何问题机器智能却敏锐地捕捉到了异常。Linux内核是运行全球绝大多数服务器和智能设备的核心基础软件。模型自主发现并巧妙串联了内核软件中的几个单独漏洞允许攻击者轻松从普通用户权限提升到完全控制整台服务器的最高权限。安全团队已经将上述漏洞详细报告给相关软件的维护者所有提及的已知漏洞目前均已完成修复。对于许多其他尚未修复的漏洞安全团队提供了加密哈希细节并在修复程序到位后向公众公布具体技术信息。网络演练场CyberGym等专业评估基准测试进一步印证了新模型与上一代模型之间的巨大能力鸿沟。模型强大的网络安全能力源于其出色的代理编码和逻辑推理技能。如下表所示模型在各种极具挑战性的软件编码任务上取得了目前所有人工智能模型中的最高分。在涉及代码编写终端操作多模态理解和多语言编程的各项顶级测试基准中新模型全面超越了上一代产品。行业共识除了Anthropic自身的内部测试许多核心合作伙伴已经在过去的几周里将前沿模型投入安全防御的实际应用各方得出了高度一致的严肃结论。思科安全团队认为机器智能能力跨越了一个重要门槛彻底改变了保护关键基础设施免受网络威胁的紧迫性。过往强化网络系统的旧方法已不再足够应对新挑战。技术提供商必须立即采用基于人工智能的新防御方法各类客户也需要准备好全线部署。保护关键基础设施的工作太过重要且紧迫没有任何企业可以孤军奋战。亚马逊云服务团队每天分析超过400万亿次网络流量以寻找潜在威胁。他们将预览版模型深度应用于关键代码库尝试在威胁出现之前建立坚固防御。安全团队发现人工智能是实现大规模防御的核心力量新模型实质性帮助云服务提供商加强了底层代码的安全性。微软网络安全团队指出发现漏洞和被攻击者利用之间的时间差完全消失。过去安全人员有几个月的缓冲时间来修补漏洞现在拥有人工智能的攻击者只需要几分钟就能完成攻击部署。加入玻璃翼计划能够让安全团队利用智能模型大规模改善安全并降低风险。CrowdStrike技术团队认为对手不可避免地会利用相同的机器能力寻找系统弱点。严峻的形势要求防御团队不能放慢脚步必须加快联合行动的步伐。想要安全部署人工智能技术必须拥有匹配的安全防御能力。Linux基金会负责人揭开了一个长久存在于软件行业的痛点。过去昂贵的安全专业知识一直是拥有庞大安全团队的组织才能享受的专属服务。开源维护者的软件代码支撑着世界上大部分关键基础设施过去常常只能依靠社区志愿者自己摸索解决安全隐患。而让关键开源代码库的维护者直接访问能够主动识别和大规模修复漏洞的新一代模型则提供了一条彻底改变力量悬殊的可靠路径。人工智能辅助安全系统将成为每个代码维护者值得信赖的贴身助手不再是少数人独享的昂贵资源。摩根大通与谷歌的安全工程团队同样高度强调了跨行业协作的极端重要性。应对下一代人工智能工具在金融与云端基础设施防御上带来的挑战需要全面汇聚各方的智慧与资源。派拓网络团队在实际测试中利用新模型精准识别出前代技术完全漏掉的复杂漏洞。攻击者很快就能发现更多零日漏洞并以比以往任何时候都快的速度开发漏洞利用程序。所有组织都必须迅速现代化现有的网络安全技术栈为防御人工智能辅助的攻击者做好万全准备。走向何方玻璃翼计划只是一场持久战的开局。任何单一组织都无法独自解决十分复杂的网络安全难题。前沿机器智能开发者软件企业安全研究人员开源社区维护者和全球各国政府都有不可或缺的核心作用。全面保卫全球网络基础设施可能需要数年时间机器智能的破坏能力可能在未来几个月内产生实质性跃升。网络防御者必须立即采取有效行动。玻璃翼计划合作伙伴将获得Claude Mythos Preview的访问权限用于排查和修复其基础系统中的隐藏漏洞。Anthropic承诺向计划参与者提供最高1亿美元的模型使用额度全额覆盖研究预览期间的大量算力使用成本。预览期正式结束后模型将以每百万输入/输出词元25/125美元的价格提供给所有参与者。广大开发者可以通过官方API平台亚马逊云服务基座谷歌云端平台以及微软计算服务无缝访问该模型。为实质性支持开源软件维护者应对不断恶化的安全环境Anthropic直接向Linux基金会旗下的开源安全组织捐赠250万美元同时向阿帕奇软件基金会Apache Software Foundation直接捐赠150万美元。有意向提升项目安全性的开源代码维护者可以通过开源专属支持程序申请模型的免费访问权限。防御项目意在不断扩大工作范围并持续开展数月。所有参与组织将无私分享各自的经验教训使其他外部机构能够将成熟经验快速应用于自身的安全建设。Anthropic将在90天内向全社会公开报告初步研究成果同步披露已经修复的关键漏洞和防御改进措施。各方将与全球领先的安全组织深度合作共同制定一套关于安全实践在人工智能时代应如何快速演进的实用指导建议。涵盖的领域包括漏洞安全披露流程软件自动更新流程开源与供应链生态安全软件开发生命周期与安全设计前置实践受监管行业的安全新标准安全事件分类缩放与响应自动化以及系统补丁修复自动化等关键维度。底层模型的超强破坏能力必须匹配同等强度的安全护栏。Anthropic目前坚决不将Claude Mythos Preview全面向公众开放长远目标是让合规用户能够大规模安全部署同级别模型专门用于网络安全及其他造福人类的生产力领域。玻璃翼计划希望在整个科技行业和公共管理部门播下一颗协作的种子推动所有利益相关方共同解决强大模型对全球数字安全影响的重大难题。防患于未然永远是人类面对未知风险时最明智的战略选择。参考资料https://www.anthropic.com/glasswing