Hi,我是Giska
日前追蹤的新聞終於有了後續發展,想聊聊作為資安人員的一些想法
前情提要
Anthropic 做出了一個強到「不敢發布」的 AI。(Claude Mythos說明)
根據Anthropic的說法,在內部測試中,Claude Mythos直接挖出數千個嚴重級別的零日漏洞。另外讓工程師比較驚悚的應該是它找出了 OpenBSD、FFmpeg的漏洞,這些歷史悠久的開源專案,理應經過全球開發者千錘百鍊,也被它翻出隱藏多年的漏洞
其實說意外也不意外,近年來的實務經驗
很多時候,企業端明明就針對弱掃結果通通修正了,結果過陣子一掃又跑出新的漏洞!(弱點掃描工具也有盲點?)
這種情形一多,逐漸發現人寫的程式有盲點,那麼人寫的弱點掃描工具當然也遵循一定的規則。
現在程式開發環境更複雜了,當AI寫code能力超越人類,就可以預期這一天必然會到來,從「幫工程師寫 code」的等級,直接進入「自動化駭客」階段
Anthropic 的選擇其實透露一個關鍵訊號:AI 資安的時間差正在消失。過去漏洞被發現、被利用之間,還有一段緩衝期;現在這段時間可能被壓縮到幾乎不存在。
所以他們乾脆反過來操作—不公開模型,而是先讓防守方「提前適應」。這背後其實是一種很不矽谷的決策:不是搶先發布,而是刻意延後。
我的後續關注重點
1. 如果 Anthropic 做得到,OpenAI、Google、xAI或其他實驗室還要多久?假使下一個開發出同等能力模型的,是某個不受道德規範的國家級駭客組織呢?
2. 從資安角度來看,這可能是典範轉移的起點。未來的防禦不再是 patch management,而是 AI 對 AI 的持續對抗。沒有導入這種能力的組織,就是直接暴露在風險之下。
