Anthropic旗下AI模型Mythos发布约一个月后,围绕其可能引发大规模黑客攻击的担忧,正被越来越多的网络安全从业者认为言过其实。
尽管Mythos发布之初引发政府和金融监管机构的高度警惕,多国官员紧急与银行业评估风险,白宫也一度考虑出台新规管控AI模型发布流程,但网络安全业界的反应远比政策层冷静。
据路透社最新报道,多位安全专家表示,Mythos所代表的能力提升是真实的,但将其描绘为即将引爆安全危机的叙事,并不符合实际情况。
这一认知落差对市场和政策走向均有影响。一方面,银行业IT团队仍在积极修补系统漏洞,监管机构也在持续与各机构保持沟通;另一方面,过度渲染的威胁叙事,在客观上也放大了Anthropic的市场声量与行业地位。
从业者与政策层之间存在巨大认知鸿沟
Mythos于今年4月发布时,Anthropic警告称该模型已发现数千个软件漏洞,涵盖所有主流操作系统和浏览器,并表示其扩散可能带来严重后果。这一表态迅速引发连锁反应:多国政府官员与银行业紧急磋商,白宫着手研究是否需要对新模型发布实施管控。
然而,网络安全从业者的判断截然不同。软件安全公司Semgrep创始人兼CEO Isaac Evans表示,"从业者与政策制定者之间存在巨大的沟通鸿沟"。他承认Mythos代表了"真实的技术进步",但强调外界的反应"并不符合我们对这些能力如何在实际场景中转化的认知"。
一位拥有丰富漏洞研究经验、曾提前获得Mythos访问权限的人士告诉路透社,"几个月乃至几年前,我们就已经能用AI发现多到不知如何处理的漏洞了。"在他看来,真正的挑战不在于发现漏洞,而在于如何在不破坏系统的前提下对漏洞进行验证、排序和修复。
Mythos的真实能力:门槛降低,但并非颠覆性突破
安全专家并未否认Mythos的技术价值,但对其实际影响给出了更为细致的评估。
思科(CSCO)高级副总裁兼首席安全与信任官Anthony Grieco指出,Mythos的新颖之处在于,它不仅能识别漏洞,还能以更快的速度扫描海量代码,并帮助有经验的从业者降低误报率,从而让防御方聚焦于最紧迫的风险。他同时指出,该模型的护栏比此前模型更少,允许用户构建更具针对性的指令,执行此前模型无法完成的操作。
上述拥有早期访问权限的人士也表示,Mythos"能够用更简单的提示词发现更多漏洞",意味着使用门槛有所降低——此前的模型需要更详细、更复杂的指令。但他同时强调,各机构处理和验证大量新发现漏洞的能力普遍不足,这才是Mythos级别模型带来的更大挑战。
Grieco以赛车作比喻:"如果你有一辆一级方程式赛车,但你只开过自行车,你或许能让它直线行驶,但你不可能一上来就跑出最佳圈速。"他指出,要充分发挥Mythos的能力,机构需要具备足够的算力,以及严格的"运行框架"——即大型语言模型在组织内部运行时所依托的计算环境与指令约束体系。
威胁叙事放大了Anthropic的声量
值得关注的是,Anthropic的表述方式——以及其邀请特定机构参与名为"Project Glasswing"的防御测试项目——将围绕Mythos的讨论推向了远超常规安全圈的范围。路透社指出,这场"全员响应"在放大感知威胁的同时,也提升了Anthropic的行业地位,尽管五角大楼将其列为供应链风险,而政府其他部门却争相寻求访问权限。
白宫官员向路透社表示,白宫正与AI实验室讨论更广泛地使用其技术。Anthropic发言人则表示,公司正"与美国政府密切合作,快速推进共同优先事项",并致力于让更多方获得Mythos的访问权限。
据彭博此前报道,美联储和货币监理署(OCC)已暂停对部分大型银行的网络安全相关检查,为各行评估和修复Mythos所暴露的系统漏洞争取时间。美联储负责监管事务的副主席Michelle Bowman表示,监管机构将"持续关注重大进展,向受监管机构传达相关风险,并不断完善网络安全监管方式"。
真正的风险:漏洞发现之后
多位专家指出,将Mythos置于安全危机核心的叙事,忽视了一个更基本的问题:利用AI寻找漏洞并非新鲜事,真正的挑战在于漏洞被发现之后。
前FBI网络安全高级官员、现就职于Halcyon的Cynthia Kaiser表示,"我们的对手在没有AI的情况下已经非常厉害了。勒索软件攻击在一小时内就能完成,而大多数威胁根本不依赖AI。"
目前,Mythos对算力和基础设施的高要求在一定程度上限制了其使用范围。但专家警告,这一壁垒不会持久。State Street金融服务公司的Nick Adam在范德堡大学的一场小组讨论中表示,"架构尚未优化",算力基础设施和运行框架方面的门槛"确实存在——但会很快被解决"。
