AI 新創公司 Anthropic 旗下未公開的頂級人工智慧模型 Claude Mythos,驚傳遭一小群用戶透過第三方供應商環境未經授權存取。這款模型具備發現並利用軟體漏洞的強大編碼能力,引發外界對 AI 模型安全漏洞與供應鏈資安的潛在威脅疑慮。Anthropic 表示正在調查,強調目前無跡象顯示其內部系統受影響。
人工智慧(AI)新創公司 Anthropic 旗下一款尚未正式公開的頂級 AI 模型 Claude Mythos,近日傳出遭一小群用戶未經授權存取,引發業界對 AI 模型安全與供應鏈漏洞的廣泛關注。Anthropic 已證實正在調查這起事件,並表示目前沒有跡象顯示其內部系統受到影響。
根據《inc.com》及《SiliconANGLE》報導,未經授權的存取行為發生在今年四月初,恰逢 Anthropic 向特定企業發布 Claude Mythos 預覽版本進行測試的同一天。據稱,這群用戶是透過一名為 Anthropic 評估模型的第三方承包商員工所持有的憑證,結合一家名為 Mercor, Inc. 的資料外洩事件中取得的資訊,成功找到並存取該模型。
Claude Mythos 是一款被描述為具備強大編碼能力的 AI 模型,其在發現和利用軟體漏洞方面的表現,甚至能超越大多數經驗豐富的人類專家。這使得模型一旦遭惡意利用,可能帶來嚴重的網路威脅。Anthropic 曾描述其能夠發現並利用軟體漏洞,而英國的 AI Security Institute 也已對此模型進行了審查。
雖然這群未經授權的用戶據報僅在私人網路論壇中定期使用該模型,並聲稱刻意避免執行具攻擊性的任務以規避偵測,但此事件已凸顯 AI 供應鏈安全的脆弱性。Acalvio Technologies, Inc. 執行長 Ram Varadarajan 評論指出,這次的洩露並非來自複雜的攻擊,僅需承包商憑證、特定的 URL 模式以及一日猜測,顯示「受控發布」模式在其最薄弱環節上出現問題。應用安全公司黑鴨子軟體(Black Duck Software Inc.)的軟體供應鏈風險策略主管 Tim Mackey 則認為,Anthropic 針對 Mythos 的行銷策略,某種程度上像是一種挑戰,反而可能引發未經授權的存取。
Claude Mythos 模型目前僅透過「Project Glasswing」計畫,向蘋果公司、亞馬遜、思科系統、CrowdStrike、Google LLC、摩根大通、微軟、輝達等約 40 家機構提供預覽版本,用於測試並強化其自有系統。美國政府機構也對此模型表達高度興趣,美國國家安全局和商務部人工智慧標準與創新中心已可存取該模型,美國財政部也正在尋求存取權。值得注意的是,美國五角大廈曾於今年三月將 Anthropic 列為國家安全供應鏈風險。