幾十年來,攻擊者在網路安全領域一直佔據優勢。人工智慧或許即將改變這一現狀。
在博客文章周二,Firefox瀏覽器開發商 Mozilla 發布消息稱,Anthropic 公司的 Claude Mythos 人工智慧模型早期版本——該模型因其據稱強大的網路安全能力而備受關注——在內部測試中幫助識別出瀏覽器中的 271 個漏洞。這些漏洞已於本週修復。
研究結果突顯了先進的人工智慧系統如何分析大型程式碼庫,並發現以往需要人類網路安全研究人員進行大量人工審查才能發現的弱點。
「隨著這些功能被更多防禦者掌握,許多其他團隊現在也和我們當初發現這些漏洞時一樣感到震驚,」Mozilla 寫道。「對於一個防禦嚴密的目標來說,即使只有 2025 年出現一個這樣的漏洞也足以敲響警鐘,而現在同時出現這麼多漏洞,不禁讓人懷疑我們是否還能應對。」
Mozilla 此前曾測試過另一個 Anthropic 模型,該模型在之前的 Firefox 版本中識別出了 22 個安全敏感漏洞。儘管取得了這些成功,Mozilla 也承認,網路安全行業長期以來一直將徹底消除軟體漏洞視為“不切實際的目標”。
该公司寫道:「迄今為止,業界在安全問題上基本上處於膠著狀態。像 Firefox 這樣提供關鍵互聯網應用軟件的供應商極其重視安全,他們有專門的團隊每天早上起床後都在思考如何保障用戶安全。」
Mozilla 表示,新的 AI 系統能夠分析原始碼並識別漏洞,而此前這項工作依賴於稀缺的人類專業知識。不過,Mozilla 也表示,令人欣慰的是,系統並未發現任何「頂尖人類研究人員」無法發現的漏洞。
他們表示:「一些評論人士預測,未來的人工智慧模型將會揭示出我們目前無法理解的全新漏洞,但我們並不這麼認為。像 Firefox 這樣的軟體採用模組化設計,以便人類能夠判斷其正確性。它很複雜,但並非無謂地複雜。」
然而,研究結果表明,人工智能工具可以讓開發者在攻擊者利用漏洞之前發現大量漏洞——但反之,如果落入不法分子手中,可能會給軟體公司和用戶帶來巨大的麻煩。
Mythos 於 3 月推出,是 Anthropic 最……先進的該模型適用於推理、編碼和網路安全任務。公司內部資料將該系統描述為超越公司早期 Opus 系列的全新模型等級。
在模型發布前進行的測試表明,它可以識別主要操作系統和網絡瀏覽器中數千個以前未知的漏洞。
Anthropic 透過一項名為「受限計劃」的計劃,對該系統擁有有限的訪問權限。玻璃翼計劃這使得包括亞馬遜、蘋果和微軟在內的部分科技公司能夠利用該模型掃描軟體漏洞。這反映出網路安全行業正日益重視利用人工智慧系統來識別和修復漏洞,以防攻擊者利用它們。
然而,同樣的技術也可能催生新型網絡攻擊。安全研究人員表示,能夠大規模分析代碼的人工智慧系統可以自動發現廣泛使用的軟體中存在的可利用漏洞。
Mythos 發布後,英國人工智慧安全研究所的測試發現,該人工智慧可以……自主執行複雜操作網路作戰能力,包括在無人協助的情況下完成多階段企業網路攻擊模擬。這些能力引起了各國政府和情報機構的關注。
儘管唐納德·特朗普總統的政府呼籲停止由於在戰爭和監視事務中使用安特羅派公司的技術存在爭議,美國國家安全局週一宣布停止使用該公司的技術。揭曉據知情人士透露,Claude Mythos Preview 將在機密網絡上運行。Mythos 的使用凸顯了美國安全機構對該模型識別關鍵軟體漏洞能力的日益關注。
該模型的性能也暴露了現有人工智慧評估系統的局限性。本月初,Anthropic已確認現有的幾個網路安全基準已不足以衡量其最新型號的性能。
Mozilla 表示,結果表明網路安全領域可能出現轉變,防禦者可能會開始縮小攻擊者長期以來佔據的優勢。
「我們為團隊應對這一挑戰的表現感到無比自豪,相信其他人也會如此,」Mozilla 寫道。「我們的工作尚未完成,但我們已經扭轉了局面,看到了一個遠比僅僅跟上步伐更好的未來。防守者終於有機會取得決定性的勝利。」
Mozilla 尚未立即回應置評請求。解密。