Anthropic 有意將性能與其 Claude Mythos 相當的模型釋出給一般大眾,前提是要等到它能讓模型達到足夠安全的程度。
Anthropic 4 月初發表全新模型 Claude Mythos 預覽版,它在尋找軟體安全漏洞上的表現極為出色,出色到 Anthropic 決定將它優先提供少數合作夥伴用於安全防禦工作,因此提出資安計畫 Project Glasswing。如果毫無限制開放存取,意味著不法分子也能用於發現漏洞,利用軟體缺陷加以攻擊。
Anthropic 上週公布關於 Project Glasswing 的初步報告,運用 Claude Mythos 對超過 1,000 項開源專案進行掃描,這些專案「支撐起大部分的網際網路,也包括我們自家絕大部分的基礎設施。」
Anthropic 指出,Claude Mythos 找出的漏洞總數達 23,019 個,其中 6,202 個高嚴重性或關鍵嚴重性的漏洞,其他為中度或低嚴重性的漏洞。
Claude Mythos 偵測到的一個開源專案漏洞,是全球數十億台裝置所使用的 wolfSSL 加密函式庫。
「Claude Mythos 預覽版建構出一個漏洞利用程式,可讓攻擊者偽造憑證。舉例來說,能夠架設一個假冒銀行或電子郵件供應商的網站。該網站對終端使用者而言看起來完全合法,儘管實際上掌控者是攻擊者本人。」所幸開發者已修補 wolfSSL 的漏洞,Anthropic 也將在未來數週內提供完整的漏洞分析。
當 Claude Mythos 發現某一項軟體缺陷,Anthropic 及其資安界的合作夥伴會重現模型所找到的問題,評估嚴重程度。
「一旦我們確認某一個漏洞屬實,我們便會檢查是否已有對應的修補方法,並向開源專案的維護者撰寫一份詳盡的報告。」Anthropic 解釋,「我們在這裡非常小心,除維護開源軟體本身會遇到的常見挑戰外,維護者近期還面臨大量品質低劣、由 AI 產生的低品質漏洞通報。實際上,已有多位維護者向我們表示,他們目前的處理量能嚴重吃緊,部分維護者甚至要求我們放慢通報速度,因為他們需要更多時間來設計修補方案。」Anthropic 補充說,Claude Mythos 發現的高嚴重性或關鍵嚴重性漏洞,平均需要 2 週時間才能修補。
最後,Anthropic 也揭露下一步做法,「我們將與關鍵合作夥伴,包括美國及其盟國政府,將 Project Glasswing 擴展至更多合作夥伴。不遠的將來,一旦我們開發出更強大防護機制,我們樂見透過正式版的發行方式,將 Claude Mythos 等級的模型對外提供。」
Anthropic 未說明所謂「不遠的將來」所指為何,「目前包括 Anthropic 自身在內沒有任何一家公司,開發出強到能防止這類模型遭到濫用、造成嚴重危害的防護機制」,Anthropic 補充說。
- Anthropic to release Mythos-class models to the public
- Anthropic warns Claude Mythos Preview finds bugs faster than developers can patch them
- Claude Mythos AI Finds 10,000 High-Severity Flaws in Widely Used Software
(首圖來源:Anthropic)
科技新報粉絲團
加入好友
訂閱免費電子報
