Anthropic 將 Claude Mythos Preview 移入有限的測試階段,並在模型於作業系統、網頁瀏覽器及其他軟體上曝出數千項關鍵漏洞後,面向一小群企業合作夥伴進行。這項揭露突顯了由 AI 驅動的安全工具所具備的巨大潛力,以及隨著能力在現實中擴散而出現的全新、相伴風險。
該公司將 Mythos Preview 描述為通用型模型,並表示在其內部評估期間,該模型在主要平台上辨識出高嚴重性的弱點。Anthropic 也警告,若未以負責任的方式管理,這類能力可能會迅速擴散,並指出對手方可能在保護措施尚未到位前就部署這些工具。
「考量到 AI 進展的速度,這類能力很快就會擴散,甚至可能超越那些致力於以安全方式部署它們的行動者。」
資安研究人員早就警告,AI 能透過自動化漏洞發現與利用來加速網路攻擊。在一個 AI 驅動威脅日益常見的更廣泛態勢下,Anthropic 指出了令人不安的趨勢。AllAboutAI 報導,AI 驅動的網路攻擊同比增加 72%,且 2025 年全球 87% 的組織都遭遇了由 AI 促成的攻擊。以此為背景,Anthropic 強調需要防禦型 AI 工具,以趕在惡意攻擊者之前。
為了強化防禦,Anthropic 於同一天宣布 Project Glasswing。這項倡議整合了 40 多家公司的力量,包括 Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 與 Nvidia,目標是運用 Claude Mythos Preview 的能力找出錯誤、與合作夥伴分享資料,並在罪犯利用之前修補關鍵漏洞。
重點整理
Claude Mythos Preview 已在作業系統、瀏覽器與加密函式庫中辨識出數千項關鍵漏洞,凸顯出潛在可被利用的廣泛攻擊面。
這些缺陷中的多數仍未修補,Anthropic 指出其所發現的漏洞中約有 99% 尚未被修正。
Project Glasswing 動員跨產業聯盟,將 AI 驅動的防禦落地,旨在加速整個軟體堆疊中的錯誤發現、揭露與修復。
這些漏洞橫跨數十年,暗示長期以來廣泛使用的軟體存在脆弱性,以及對關鍵基礎建設與加密生態系統持續存在的風險。
AI 驅動漏洞發現與數十年已久的弱點
Anthropic 的早期發現揭示一項令人不安的現實:那些已經滯留多年甚至數十年的缺陷,今天仍可能構成重大威脅。在所舉的例子中,有幾項已被修補但在歷史上具有重要意義的 OpenBSD 漏洞——一項 27 年前的漏洞在測試中重新浮現;以及 FFmpeg 函式庫中的一項 16 年前缺陷;還有 FreeBSD 作業系統中的一項 17 年前遠端程式碼執行漏洞。這些揭露擴及 Linux 核心中的多項漏洞,顯示即使是維護良好的開源專案,也並非不受潛在風險影響。
不只限於作業系統,Mythos Preview 也標記了加密領域中的弱點——這些領域是安全通訊與交易的基礎。據報導,該模型在廣泛使用的函式庫與協定中辨識出漏洞,包括 TLS、AES-GCM 與 SSH。網頁應用程式被視為特別肥沃的漏洞發現土壤,問題範圍從跨站腳本(cross-site scripting)到 SQL injection,乃至於跨站請求偽造(cross-site request forgery);後者常被用於針對釣魚風格(phishing-style)的行動。
Anthropic 強調,這些問題中的許多都十分微妙、高度依情境而定,或深嵌於複雜的程式碼路徑之中,使得僅靠傳統稽核難以發現。對開發者與營運者而言,這項暗示十分明確:即便是成熟的軟體堆疊也可能藏著關鍵缺陷,而 AI 可能比傳統方法快得多協助挖掘出來。
該公司也凸顯了一項與這些發現一同出現的尖銳統計:這些漏洞中多數尚未完成修補,因而形成了可被利用的曝露窗口;若未能即時處理,這個窗口可能會被投機型攻擊者趁機利用。
Glasswing:為主動防禦而生的聯盟
Project Glasswing 被定位為主動防禦計畫,而非回溯式分析倡議。透過彙整來自雲端供應商、硬體開發者、金融機構以及開源生態系參與者的資源與專業知識,Glasswing 希望把 AI 驅動的漏洞發現轉化為一個學習迴圈,加速補丁的產出與部署。此合作也旨在分享關於新興威脅的洞見、與供應商及供貨方協調揭露時程,並在被利用的情況擴大前推動快速修復。
主要參與者涵蓋產業巨頭與關鍵安全生態系:Amazon Web Services、Apple、Cisco、Google、JPMorgan、Linux Foundation、Microsoft 與 Nvidia 等,還有其他機構。這項倡議反映出一個日益增長的趨勢:由大型科技聯盟協調強化軟體供應鏈,並縮短「漏洞發現」到「打補丁」之間的時間窗口——而這個目標特別貼近區塊鏈與加密基礎建設的需求;因為在那裡,安全事件可能會在網路與生態系之間引發連鎖失效。
這種轉變對加密與資安生態系意味著什麼
對加密領域的投資人與建置者而言,Mythos Preview 的發現以及 Glasswing 的協作模式,讓對風險與韌性的理解更具細緻度。一方面,AI 輔助的漏洞發現可能大幅提升加密平台、錢包、節點軟體與智慧合約生態系的安全態勢,方法是揭露那些原本需要人類花更長時間才能偵測到的弱點。另一方面,提前取得這類強大工具也帶來治理與安全性的疑問:誰來控制研究結果的揭露?補丁發布速度多快?在即時市場中,風險又如何被定價給使用者?
從市場角度來看,圍繞 AI 促成的安全工具所產生的活動,可能會影響加密基礎建設中對安全原語(security primitives)、稽核套件(auditing suites)與形式化驗證服務的需求。這也突顯強固供應鏈安全的重要性;因為若是某個在廣泛使用的函式庫或作業系統中出現零日漏洞(zero-day),就可能在去中心化網路、交易所與託管服務之間產生連鎖效應。
分析師指出,防禦導向 AI 的轉型期可能充滿艱難阻力。從長期看,倡議者預期防禦能力會佔據主導,帶來更安全的軟體生態系;但在過渡階段,將會呈現普遍的設定錯誤、補丁延遲,以及隨著攻擊者因應新型防禦技術而調整策略的威脅手法演進。Anthropic 的說法暗示,轉向 AI 輔助的防禦不會是瞬間完成;要降低被利用的時間窗口,需要持續協作、標準化揭露流程與快速補丁週期。
除了直接的技術含意,產業觀察者也在留意政策與治理框架如何因應這些能力的出現。分享威脅情報與保護敏感漏洞資料之間的平衡,將決定組織能多快從 AI 驅動的防禦中獲益——包含在以加密為主的環境中,而那裡的責任歸屬、透明度與使用者信任尤其至關重要。
正如安全圈的報導所提到,類似敘事也已出現在 AI 促成的程式碼安全議題上,以及關於如何以安全方式監管與部署 AI 的更廣泛辯論中。媒體與市場對這些討論的反應,包含資安類股的波動,這突顯投資人正在權衡:AI 驅動的防禦可靠性,對比啟用更具能力攻擊者的風險。
在短期內,讀者應留意 Glasswing 如何把模型的發現轉化為可落地的補丁,以及參與企業能多快把共享情報用於實際作業。結果很可能會影響安全預算、開發者工作流程,以及涵蓋傳統科技與加密原生生態系的事件回應就緒程度。
目前仍不確定的是:產業能多快把數以萬計的、已揭露的漏洞的補丁缺口(patch gap)補上,以及 AI 輔助的防禦能否持續領先日益精密的利用手法。接下來的幾個月,將讓開發者、營運者與政策制定者看見,大型、AI 促成的防禦計畫在降低系統性風險方面,是否可行且有效。
就目前而言,Anthropic 的揭露強化了一項關鍵結論:隨著 AI 能力持續成長,必須把強大的偵測工具與紀律化、協作式的防禦相結合的必要性也同步提升——尤其是在安全與信任、以及延續性(continuity)密不可分的領域。
本文最初發佈於 Crypto Breaking News:Anthropic 收緊 AI 存取,因加密面臨的網路攻擊風險逼近——您值得信賴的加密新聞來源,提供比特幣新聞與區塊鏈更新。
