Anthropic 已將 Claude Mythos Preview 推入有限測試階段,並在模型於各種作業系統、網頁瀏覽器及其他軟體中暴露出數千項關鍵漏洞後,面向一群特定的企業合作夥伴進行。此項披露凸顯了 AI 驅動的資安工具所具備的巨大潛力,以及隨能力在現實世界中擴散而出現的全新、伴隨風險。
該公司將 Mythos Preview 描述為通用型模型,並在其內部評估期間,找出主要平台中的高嚴重性弱點。Anthropic 提醒,若未以負責任的方式管理,這類能力可能迅速擴散,並指出對手可能在防護措施尚未到位前就部署這些工具。
「鑑於 AI 進展的速度,這類能力不久就會擴散,甚至可能超越那些致力於安全部署它們的行動者。」
資安研究人員長期以來警告,AI 可能透過自動化漏洞發現與利用來加速網路攻擊。在一個 AI 驅動威脅日益常見的更廣闊局勢中,Anthropic 指向令人擔憂的趨勢。AllAboutAI 報告指出,AI 驅動的網路攻擊年增 72%;而在 2025 年,全球 87% 的組織都遭遇了由 AI 促成的攻擊。基於這樣的背景,Anthropic 強調需要防禦型 AI 工具來追趕壞人。
為了加強防禦,Anthropic 同一天宣布推出 Project Glasswing。該倡議整合超過 40 家公司,包括 Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 以及 Nvidia,目標是運用 Claude Mythos Preview 的能力找出漏洞、與合作夥伴分享資料,並在罪犯利用之前修補關鍵漏洞。
重點整理
Claude Mythos Preview 已在作業系統、瀏覽器與加密函式庫中找出數千項關鍵漏洞,凸顯出一個可能被利用的廣泛攻擊面。
其中多數缺陷仍未修補,Anthropic 指出其所發現的約 99% 漏洞尚未被修復。
Project Glasswing 使跨產業聯盟動員起來,將 AI 驅動的防禦落到實務,目標是加速整個軟體堆疊中的漏洞發現、披露與修復。
這些漏洞跨越數十年,暗示長期以來被廣泛使用的軟體存在脆弱性,以及對關鍵基礎設施與加密生態系統持續存在的風險。
AI 驅動的漏洞發現與數十年老弱點
Anthropic 的早期發現揭示了一個令人不安的現實:那些延宕多年、甚至數十年的缺陷,今天仍可能帶來實質威脅。在所列舉的案例中,包括已修補但歷史意義重大的 OpenBSD 漏洞——這是一項長達 27 年的漏洞,曾在測試中重新浮現;以及 FFmpeg 函式庫中的一項 16 年前漏洞,還有 FreeBSD 作業系統中的一項 17 年前遠端程式碼執行漏洞。這些披露延伸至 Linux 核心中的多項漏洞,顯示即使是維護良好的開源專案,也不免於潛在風險。
除了作業系統之外,Mythos Preview 也標記出加密領域的弱點——這些領域是安全通訊與交易的基礎。據報導,模型在包含 TLS、AES-GCM 與 SSH 在內的廣泛使用函式庫與通訊協定中發現了缺陷。網頁應用程式出現為特別容易發現漏洞的沃土,問題類型涵蓋從跨網站指令碼(cross-site scripting)到 SQL 注入,以及跨站請求偽造(cross-site request forgery);後者常被用於釣魚風格的行銷/攻擊活動。
Anthropic 強調,這些問題中的許多都很微妙、且高度依賴情境,或深植於複雜程式碼路徑之中,因此單靠傳統稽核很難發掘。對開發者與營運者而言,意味著一個清楚的結論:即使是成熟的軟體堆疊,也可能藏著關鍵漏洞,而 AI 能幫助挖掘的速度,會比傳統方法快得多。
該公司亦指出,隨這些發現一同呈現的嚴峻統計:這些漏洞中的多數尚未完成修補,形成一段潛在暴露窗口;若未及時處理,便可能被趁機者攻擊者所利用。
Glasswing:針對主動防禦的聯盟
Project Glasswing 被定位為主動防禦計畫,而非事後回顧的分析倡議。透過彙整來自雲端供應商、硬體開發者、金融機構與開源生態系參與者的資源與專業知識,Glasswing 希望將 AI 驅動的漏洞發現轉化為一個學習循環,加速修補的產生與部署。此合作旨在分享新興威脅的洞見、與供應商及上游提供者協調披露時程,並在被利用的情況尚未廣泛蔓延之前推動快速修復。
主要參與者涵蓋產業巨頭與關鍵資安生態系:Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 以及 Nvidia 等,還有其他更多。此舉反映了一種日益增長的趨勢:由大型技術公司所組成的聯盟,協調強化軟體供應鏈,並縮小「漏洞發現」與「打補丁」之間的時間差——這個目標在區塊鏈與加密基礎設施特別重要,因為資安事件可能在網路與生態系之間引發連鎖失效。
這項轉變對加密與資安生態系意味著什麼
對於加密領域的投資人與建置者而言,Mythos Preview 的發現以及 Glasswing 的協作模式,提供了對風險與韌性的更細緻觀點。一方面,AI 輔助的漏洞發現可能透過挖掘那些原本要花更久時間才得以偵測的弱點,顯著改善加密平台、錢包、節點軟體與智慧合約生態系的資安態勢。另一方面,提早取得這類強大工具也引發治理與安全性問題:誰掌控發現結果的披露?補丁發布得有多快?在即時市場中,風險如何被定價給使用者?
從市場角度看,圍繞 AI 啟用的安全工具的活動,可能會影響加密基礎設施中對安全基本元件(security primitives)、稽核套件(auditing suites)與形式驗證服務(formal verification services)的需求。它也凸顯了供應鏈安全的重要性:因為若某個被廣泛使用的函式庫或作業系統出現單一零日(zero-day),就可能在去中心化網路、交易所與託管服務之間引發連鎖效應。
分析師指出,防禦導向的 AI 轉型期很可能充滿挑戰。長期而言,倡議者預期防禦能力將佔主導地位,讓軟體生態系變得更安全;但在過渡期間,將充斥廣泛的錯誤組態(misconfigurations)、補丁延遲,以及隨著攻擊者適應新型防禦技術而演進的威脅策略。Anthropic 的說法顯示,朝向 AI 輔助防禦的轉變不會是即時發生的;它需要持續合作、標準化的披露,以及快速的打補丁週期,才能縮小被利用的窗口。
除了直接的技術含涵,業界觀察者也在留意政策與治理架構如何因應這些能力。披露威脅情報與保護敏感漏洞資料之間的平衡,將決定組織能多快從 AI 驅動的防禦中獲益——尤其是在以加密為焦點的環境中,因為責任歸屬、透明度與使用者信任是首要考量。
正如資安圈的報導所指出,類似敘事也已出現在 AI 啟用的程式碼安全與更廣泛的討論中:如何規範與部署 AI,並且讓其安全運用。媒體與市場對這些討論的反應,包含資安股票的波動,凸顯投資人正在權衡 AI 驅動防禦的可靠性,與可能助長更具能力的攻擊者的風險。
在短期內,讀者應留意 Glasswing 將模型發現轉化為可落地的修補需要多快,以及參與的公司能多快把共享情報落地為實際運作。結果很可能會影響安全預算、開發者工作流程,以及涵蓋傳統科技與加密原生生態系在內的事件應變準備程度。
仍不確定的是,產業能否在龐大數量的未修補漏洞上多快縮短 patch gap(打補丁差距),以及 AI 輔助的防禦能否持續領先於越來越複雜的利用手法。未來數月,將讓開發者、營運者與政策制定者更清楚地看到:在降低系統性風險方面,大規模、AI 啟用的防禦計畫,其可行性與有效性究竟如何。
目前而言,Anthropic 的披露強化了一個關鍵要點:隨著 AI 能力成長,強大的「發現工具」必須同時搭配紀律化、協作式的防禦——特別是在安全與信任及持續性不可分割的領域。
本文最初發表於 Crypto Breaking News:Anthropic 逐步收緊 AI 存取,因加密面臨資安攻擊風險。這裡是您可信的加密新聞、Bitcoin 新聞與區塊鏈更新來源。
