【記者吳雨涵/綜合報導】 Anthropic旗下最先進的AI模型「Claude Mythos Preview」 […]
【記者吳雨涵/綜合報導】
Anthropic旗下最先進的AI模型「Claude Mythos Preview」,在未經專門資安訓練的情況下,自主發現了橫跨各大作業系統與瀏覽器的數千個漏洞,其中包含一個存在27年的OpenBSD漏洞,以及可讓未經認證的攻擊者完全控制伺服器的17年遠端程式碼執行漏洞(CVE-2026-4747)。然而,Anthropic並未將模型公開發布,而是透過「Project Glasswing」計畫,悄悄將漏洞資訊交給維護全球網路運作的關鍵組織。
參與計畫的合作夥伴包括Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux基金會、Microsoft、Nvidia、Palo Alto Networks等巨頭。此外,Anthropic已將存取權擴展至超過40個建構或維護關鍵軟體基礎設施的組織,並承諾投入最高1億美元的使用額度,以及400萬美元的直接捐款給開源安全組織。
Mythos Preview的資安能力並非刻意訓練而來。Anthropic表示,這些能力「是程式碼、推理與自主性等通用改進的衍生結果」。問題在於:同樣的改進讓模型更擅長修補漏洞,也讓它更擅長利用漏洞。模型已大幅超越現有資安基準,迫使Anthropic轉向真實世界的零日漏洞挖掘。
Anthropic研究團隊的Nicholas Carlini描述:「這個模型能將三、四、甚至五個漏洞串聯起來,產生非常複雜的最終攻擊效果。過去幾週我發現的漏洞,比我前半輩子加起來還多。」
為何不公開發布?Anthropic前沿紅隊網路負責人Newton Cheng表示:「鑑於AI進步的速度,這類能力不久後將擴散,可能落入不承諾安全部署的行為者手中。對經濟、公共安全與國家安全的後果可能非常嚴重。」此前,Anthropic已揭露首個由AI大規模執行的網路攻擊案例——一個中國國家支持的组织利用AI代理自主滲透約30個全球目標。
Project Glasswing也特別關注開源軟體。Linux基金會CEO Jim Zemlin指出:「過去安全專業知識是大型組織的奢侈品,維護全球關鍵基礎設施的開源維護者往往只能靠自己。」Anthropic已透過Linux基金會向Alpha-Omega與OpenSSF捐贈250萬美元,並向Apache軟體基金會捐贈150萬美元,讓開源維護者獲得前所未有的AI資安漏洞掃描規模。
Anthropic的最終目標是在建立新防護機制後大規模部署Mythos等級模型。公司計劃先透過即將推出的Claude Opus模型測試新防護措施。此舉顯示,前沿實驗室已將「受控部署」——而非開放釋出——視為這類高能力模型的新標準。