人工智慧(AI)開發商Anthropic近日揭露一項驚人發現,其最新AI模型Claude Mythos Preview展現出前所未有的資安分析能力,成功辨識出數千個存在於主流作業系統與網頁瀏覽器中的高危險性零日漏洞。這些漏洞不僅數量龐大,部分甚至已潛藏數十年之久,未曾被傳統自動化測試工具偵測。
Anthropic表示,Claude Mythos Preview能夠將高達72.4%的已識別漏洞轉化為成功的利用程式,並在11.6%的攻擊嘗試中實現暫存器控制,顯示其不僅能找出問題,更能實際構成威脅。這與其先前版本(如Sonnet 4.6和Opus 4.6)有顯著差異,後者雖能發現漏洞,但多數無法成功利用。
在內部基準測試中,Anthropic的Frontier紅隊讓Mythos Preview模型針對約一千個開源軟體儲存庫進行測試,結果發現Mythos Preview在第一級及第二級系統崩潰案例中達到了595個,遠超Sonnet 4.6和Opus 4.6的總和。更值得注意的是,Mythos Preview成功在十個獨立、已完全修補的目標系統上,實現了完整的控制流劫持,達到第五級威脅。
該模型甚至揭露了多個長期存在的陳年漏洞,例如OpenBSD系統中一個長達27年、只需連線即可導致系統崩潰的漏洞,以及FFmpeg函式庫中一個已存在16年、被自動化測試工具反覆觸及五百萬次卻毫無察覺的漏洞。此外,Mythos Preview還發現了Linux核心中的一個漏洞鏈,允許攻擊者取得主機系統的根權限。
面對這些重大發現,Anthropic採取了負責任的披露策略,並未向一般大眾發布Claude Mythos Preview,而是主動召集軟體與硬體產業的關鍵業者,合作修補這些漏洞。然而,由於問題數量過於龐大,目前不到1%由Mythos揭露的潛在錯誤已獲得全面修補。Anthropic期望透過將Mythos提供給受限的合作夥伴,為業界為未來更強大的AI模型普及做好準備,因為「邊緣AI模型的能力增長在某些專業領域並未減緩」。
此次事件凸顯了AI在網路安全領域的雙面刃特性。一方面,AI具備前所未有的漏洞偵測與分析潛力,能找出過去難以發現的深層缺陷;另一方面,其強大的利用能力也引發對潛在惡意應用的擔憂。隨著前沿AI模型能力的快速提升,如何有效利用其優勢同時防範其風險,已成為全球軟體開發商與資安專業人士的當務之急。
