Anthropic最新發(fā)布的大模型Claude Mythos預(yù)覽版，在識別網(wǎng)絡(luò)安全漏洞和利用漏洞方面具備了前所未有的潛力，但云安全聯(lián)盟日前警告稱，Mythos同時也降低了發(fā)現(xiàn)和利用漏洞的成本和技能門檻。云安全聯(lián)盟由網(wǎng)絡(luò)安全高管和美國前政府高級官員組成。Mythos或使得傳統(tǒng)銀行系統(tǒng)面臨前所未有的網(wǎng)絡(luò)風(fēng)險。

金融機(jī)構(gòu)面臨棘手問題

Anthropic在4月上旬公布Mythos模型，并稱之為“迄今在編程和智能體任務(wù)方面能力最強(qiáng)的模型”。由于編程能力強(qiáng)大， Claude Mythos預(yù)覽版能夠識別并利用每個主要計算機(jī)操作系統(tǒng)和每個主要網(wǎng)頁瀏覽器中此前未被發(fā)現(xiàn)的漏洞，這意味著目標(biāo)系統(tǒng)可能會因此遭受嚴(yán)重影響。在用于處理音視頻文件的開源程序FFmpeg中，Mythos預(yù)覽版識別出存在16年之久的漏洞。

據(jù)路透社4月14日報道，企業(yè)AI安全公司Guardrail Technologies首席執(zhí)行官TJ Marlin（TJ·馬林）表示，這對銀行及其他金融機(jī)構(gòu)來說是棘手問題，因為它們所使用的技術(shù)架構(gòu)將最先進(jìn)的工具與數(shù)十年前的軟件相結(jié)合，這可能會暴露出大量漏洞。馬林表示，Mythos預(yù)覽版能夠?qū)徱晱?fù)雜架構(gòu)和傳統(tǒng)基礎(chǔ)設(shè)施，“這些未被發(fā)現(xiàn)的漏洞和復(fù)雜性問題如今變得可被訪問，并成為威脅因素?！?/p>

銀行業(yè)還高度互聯(lián)，許多公司使用同一套狹窄的軟件來接入客戶、處理交易?！斑@是一個非常專業(yè)化且受到嚴(yán)格監(jiān)管的行業(yè)，存在很多IT互連?！痹诿绹泿疟O(jiān)理署工作的舊金山顧問納雷什·拉赫賈（Naresh Raheja）說，許多銀行都使用相同的供應(yīng)商和相同的解決方案。馬林則表示，這可能成為漏洞的倍增器，使任何由AI驅(qū)動的攻擊“在規(guī)模上可能具有災(zāi)難性后果”。

在4月12日的一份戰(zhàn)略簡報中，云安全聯(lián)盟警告稱，Mythos代表了能力強(qiáng)大的AI模型的發(fā)展軌跡發(fā)生了重大轉(zhuǎn)變，它降低了發(fā)現(xiàn)和利用漏洞的成本和技能門檻，其速度甚至超過了機(jī)構(gòu)組織的漏洞修補(bǔ)能力。

另據(jù)《衛(wèi)報》報道，英國政府的AI安全研究所（AISI）周一警告稱，Mythos在構(gòu)成網(wǎng)絡(luò)威脅方面比之前的模型“更上一層樓”。Mythos可以執(zhí)行需要多個步驟的攻擊，并在無需人工干預(yù)的情況下發(fā)現(xiàn)IT系統(tǒng)的弱點。而這些任務(wù)通常需要人類專家數(shù)天才能完成。Mythos是首個成功完成AISI創(chuàng)建的32步網(wǎng)絡(luò)攻擊模擬的AI模型，在10次嘗試中解決了3次挑戰(zhàn)。AISI表示，Mythos似乎能夠自主攻擊小型、防御薄弱的IT系統(tǒng)，但無法確定它能否攻擊防御良好的系統(tǒng)。

多國官員與銀行會面商討

為應(yīng)對Mythos帶來的金融風(fēng)險，美國、加拿大和英國官員已與銀行會面，討論與Mythos相關(guān)的網(wǎng)絡(luò)安全威脅。美國財政部長上周已召集高盛首席執(zhí)行官大衛(wèi)·所羅門（David Solomon）及其他美國大銀行家前往華盛頓討論Mythos模型。美國財政部表示，特朗普政府正推動金融機(jī)構(gòu)“理解和預(yù)判廣泛的市場發(fā)展”，并計劃就這一問題舉行更多會議。

所羅門表示，他對Anthropic公司的Mythos模型能力“高度警覺”，并與這家科技公司緊密合作，增強(qiáng)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施韌性?！拔覀兞私釳ythos及其能力……我們擁有該模型。我們正與Anthropic以及我們所有的安全供應(yīng)商緊密合作，盡一切可能利用前沿能力?！?/p>

AISI表示，未來的先進(jìn)AI模型只會比Mythos更強(qiáng)大，因此現(xiàn)在對網(wǎng)絡(luò)防御進(jìn)行投資至關(guān)重要。

據(jù)《衛(wèi)報》報道，英國監(jiān)管機(jī)構(gòu)預(yù)計將在未來幾周內(nèi)與英國銀行高管和政府官員討論Mythos的風(fēng)險問題。由首席執(zhí)行官以及來自英國財政部、英格蘭銀行、英國金融行為監(jiān)管局和英國國家網(wǎng)絡(luò)安全中心的官員組成的跨市場運(yùn)營韌性小組（CMorg）計劃在未來兩周內(nèi)舉行會議。

Anthropic曾表示，Claude Mythos預(yù)覽版不會向公眾全面開放。該公司邀請大型科技公司、網(wǎng)絡(luò)安全供應(yīng)商、摩根大通以及其他數(shù)十家機(jī)構(gòu)私下評估該模型，并相應(yīng)準(zhǔn)備防御措施。

網(wǎng)絡(luò)安全公司TLPBLACK聯(lián)合創(chuàng)始人科斯汀·拉尤（Costin Raiu）表示，銀行業(yè)的傳統(tǒng)技術(shù)系統(tǒng)在幾十年前發(fā)布，其中就包括IBM在內(nèi)的公司生產(chǎn)的產(chǎn)品，多年來這些系統(tǒng)經(jīng)歷了多次更新。在4月9 日的一篇博客文章中，IBM表示，Mythos正“迫使企業(yè)安全團(tuán)隊從根本上重新思考其防御措施”，并呼吁采取更多開源方式，讓更多公司和研究人員能夠使用該模型，從而使每個人都更加安全。