AI 公司 Anthropic 旗下的兩款先進模型 Claude Fable 5 和 Mythos 5,因美國聯邦政府一項涉及國家安全和「越獄」技術的出口管制指令,被迫全面停止全球服務,突顯了企業在使用AI工具時,對數據存取、模型依賴以及資安風險管理存在的嚴重可視性缺口。
全球兩款高效能人工智慧(AI)模型 Claude Fable 5 和 Mythos 5,於日前突遭下架,突顯了AI技術發展中數據安全與合規性的潛在風險。開發商 Anthropic 因接獲美國聯邦政府的出口管制指令,被迫在短時間內將這些模型全面停止服務。
根據《Security Boulevard》報導,此事件發生在美國東部時間 6 月 12 日傍晚 5 時 21 分,Anthropic 收到美國聯邦政府的出口管制指令。該指令援引國家安全考量,要求 Anthropic 阻止任何外籍人士(無論是否在美國境內)使用 Claude Fable 5 和 Mythos 5。此禁令甚至涵蓋了 Anthropic 內部任職的外籍員工。
Anthropic 面臨的挑戰是,對於服務數億使用者的應用程式介面(API)金鑰,要即時可靠地核實每個使用者的國籍幾乎不可能。因此,為了遵守指令,該公司唯一可行的方式,就是對所有使用者全面關閉這兩款模型。當晚,Anthropic 在模型服務中直接回傳「無法使用」的訊息,證實了服務中斷。
據Anthropic說明,美國聯邦政府此舉是因應一起「越獄」(jailbreak)技術。這種技術涉及讓模型讀取程式碼庫並找出其中弱點,類似於資安防護人員日常使用的偵測工具。Anthropic 也指出,市面上許多其他模型也能做到類似功能。這次事件凸顯,先進AI模型的風險往往不在模型本身,而在於模型能夠存取的數據,以及它能對這些數據採取的行動。例如,一個能讀取程式碼並指出弱點的系統,意味著對敏感資料有深度的存取權限。
資安公司 Snyk 在其分析中表示:「模型冗餘(model redundancy)已成為韌性要求,而非單純的效能註腳。」這意味著將單一託管模型視為硬性依賴,將會造成單點故障。無論是系統當機或政府指令,這都構成嚴重的資安問題。許多組織對於其AI工具所依賴的工作流程、以及哪些敏感數據經由AI模型傳輸等基本問題,都無法明確回答。
Fable 5 的暫停事件免費揭露了組織在可視性上的缺口,且未造成任何實際數據外洩。資安專家建議,組織應著重了解自身環境,明確地圖繪製 AI 工具如何存取敏感數據,而非僅嘗試預測下一個法規指令。MIND 公司也指出,他們的服務正是協助企業發現並分類敏感數據,同時監控這些數據在各種應用程式與生成式AI(GenAI)工具之間的流動,確保在採用AI技術的同時,能有效掌控數據安全。