美國人工智慧(AI)新創企業Anthropic最新研究顯示,該公司推出的Mythos Preview模型如今只需數小時,就能將新公開的軟體漏洞轉化為可運作的攻擊程式(exploit);過去達到相同效果往往需要數周時間。
美國網路媒體Axios報導,過去外界大多關注AI尋找新漏洞的能力,但Anthropic的研究顯示,先進模型在快速將防禦方已知的漏洞「武器化」方面,可能同樣具有強大能力。
這可能大幅縮短漏洞公開與廣泛完成修補之間的「修補空窗期」(patch gap)。
Anthropic的前沿紅隊(frontier red team)使用Mythos,針對知名網路瀏覽器「火狐」(Mozilla Firefox)與微軟Windows核心(kernel)在今年1月與2月公開揭露的漏洞進行測試。
研究人員特別選擇在模型完成訓練後才公開的漏洞,以評估AI能多快根據公開修補程式,逆向分析並開發出可運作的攻擊程式。結果Mythos僅花31分鐘,就為一個Windows核心漏洞建立出第一個概念驗證攻擊程式(proof-of-concept exploit)。
在測試的21個核心漏洞中,有18個成功被Mythos利用並觸發俗稱「藍畫面當機」(Blue Screen of Death)的系統崩潰。Mythos總共建立出8種不同的攻擊程式,其中耗時最長的攻擊程式大約花了5.7小時完成。
在火狐方面,Mythos同樣表現不俗。在18個安全修補案例中,Mythos成功建立出8個可執行任意程式碼的攻擊程式。
大多數網路攻擊實際上鎖定的並非未知漏洞,而是企業尚未完成修補的已知漏洞。修補系統往往不像下載更新那麼簡單。資訊科技與資安團隊通常必須先測試修補程式,以避免系統當機,而許多修補作業也需要安排停機時間。
值得注意的是,帶來這項風險的並不只有Mythos。一些開源模型在尋找漏洞方面,已達到與Mythos以及OpenAI的GPT-5.5-Cyber相近的水準。
Anthropic估計,Mythos生成這些可用來取得Windows更高系統權限的攻擊程式,共消耗約15,700美元的API使用成本,平均每個攻擊程式約2,000美元(約新台幣6.4萬元)。
川普(Donald Trump)政府正開始落實新的AI安全行政命令,目的是評估能力日益增強的AI模型可能對美國國家安全帶來的風險。
