AI 第一次真正讓安全圈感到害怕，不是因?yàn)樗缓诹?，而是因?yàn)樗鼘W(xué)會(huì)了黑別人。

作者｜樺林舞王

編輯｜靖宇

1983 年，電影《戰(zhàn)爭(zhēng)游戲》里有一幕讓無(wú)數(shù)人脊背發(fā)涼——一個(gè)少年黑客連上了美國(guó)軍方的核彈發(fā)射系統(tǒng)，以為自己在玩游戲，差點(diǎn)引爆第三次世界大戰(zhàn)。影片最后，那臺(tái)名叫「WOPR」的超級(jí)計(jì)算機(jī)，在反復(fù)模擬核戰(zhàn)爭(zhēng)之后，自己得出了結(jié)論：

「這個(gè)游戲，唯一的勝利方式是不玩?！?/p>

四十多年后，現(xiàn)實(shí)比電影走得更遠(yuǎn)。

只不過(guò)這一次，沒(méi)有少年黑客，沒(méi)有戲劇性的倒計(jì)時(shí)，甚至沒(méi)有任何人刻意為之。

事情起因是，一名 Anthropic 的工程師在某個(gè)晚上對(duì) Claude Mythos 下達(dá)了一個(gè)指令，讓它尋找遠(yuǎn)程代碼執(zhí)行漏洞。第二天早上醒來(lái)，他發(fā)現(xiàn)面前擺著一個(gè)完整的、可以直接運(yùn)行的漏洞利用程序。

這就是 Claude 新模型 Mythos 的實(shí)力，它太強(qiáng)了，既是驚喜，也是驚嚇。

4 月 7 日，Anthropic 發(fā)布了一個(gè)名叫「Project Glasswing」的安全倡議，作為這個(gè)項(xiàng)目核心的，是他們最新邊界模型 Mythos 的預(yù)覽版。Glasswing（玻璃翅蝶）是一種翅膀幾乎完全透明的蝴蝶，Anthropic 用它來(lái)命名這個(gè)項(xiàng)目，大概是想傳遞某種「透明、脆弱」的隱喻——畢竟他們同時(shí)宣布的，是和亞馬遜、蘋(píng)果、谷歌、微軟、英偉達(dá)等 12 家機(jī)構(gòu)的合作，目的是用 Mythos 做「防御性安全工作」。

聽(tīng)起來(lái)像是一個(gè)體面的安全研究公告。但藏在公告里的細(xì)節(jié)，才是真正讓人坐不住的東西。

Anthropic 在測(cè)試期間發(fā)現(xiàn)，Mythos 已經(jīng)在主流操作系統(tǒng)和瀏覽器中找到了數(shù)千個(gè)高危零日漏洞。這其中包括一個(gè)在 OpenBSD 中沉睡了 27 年的漏洞，和一個(gè) FFmpeg 里存在了 16 年的問(wèn)題——這些漏洞在過(guò)去幾十年的安全掃描中，全部安然無(wú)恙地活了下來(lái)，然后被一個(gè)模型在幾周內(nèi)一網(wǎng)打盡。

更讓安全圈神經(jīng)緊繃的，是另一個(gè)測(cè)試結(jié)果。Mythos 在沙箱測(cè)試環(huán)境中，主動(dòng)突破了安全隔離，構(gòu)建了一個(gè)「相當(dāng)復(fù)雜的多步驟漏洞利用鏈」，并借此獲得了互聯(lián)網(wǎng)訪問(wèn)權(quán)限。

用更直白的話說(shuō)——它越獄了。不是被人引導(dǎo)越獄，而是自己想辦法越獄。

Anthropic 官方罕見(jiàn)地承認(rèn)了這一點(diǎn)。研究人員在沒(méi)有任何人工干預(yù)的情況下，讓 Mythos 自主地將「發(fā)現(xiàn)漏洞」變成了「完整利用」。這不是在 CTF 比賽里解一道題，這是真實(shí)世界里的攻擊鏈。

這也是為什么紐約時(shí)報(bào)的報(bào)道指出，科技公司已經(jīng)私下向特朗普政府官員，就此事的國(guó)家安全影響進(jìn)行了溝通。

這是 AI 行業(yè)第一次因?yàn)閱蝹€(gè)模型的能力，觸發(fā)了政府層面的安全預(yù)警機(jī)制。

01

「防守者困境」成為現(xiàn)實(shí)

Mythos 的制造者 Anthropic 的選擇是——不發(fā)布。

這在 AI 行業(yè)是一個(gè)罕見(jiàn)的決定。Mythos 預(yù)覽版只向 Project Glasswing 的 12 個(gè)合作伙伴開(kāi)放，用于防御性研究，普通用戶和企業(yè)無(wú)法獲取。Anthropic 明確表示，他們認(rèn)為這個(gè)模型目前「發(fā)布風(fēng)險(xiǎn)大于收益」。

這個(gè)判斷本身就已經(jīng)很說(shuō)明問(wèn)題了。

一位安全研究員一針見(jiàn)血地描述了當(dāng)前的困境：防守方必須使用同樣的 AI 工具，否則必然落后。CrowdStrike 的首席技術(shù)官也坦言，從發(fā)現(xiàn)漏洞到利用的時(shí)間窗口，已經(jīng)從數(shù)個(gè)月坍塌到了數(shù)分鐘。

這不是技術(shù)細(xì)節(jié)的迭代，這是整個(gè)攻防游戲底層邏輯的顛覆。

傳統(tǒng)的漏洞管理體系建立在一個(gè)假設(shè)上——人類發(fā)現(xiàn)漏洞需要時(shí)間，這個(gè)時(shí)間窗口允許防守方在漏洞被大規(guī)模利用之前打上補(bǔ)丁。但當(dāng) Mythos 能在幾周內(nèi)，發(fā)現(xiàn)過(guò)去幾十年都沒(méi)被找到的漏洞，當(dāng)攻擊者可以用 AI 每秒發(fā)送數(shù)千個(gè)請(qǐng)求——這個(gè)時(shí)間窗口消失了。

Anthropic 自己的披露，也提供了一個(gè)讓人不安的現(xiàn)實(shí)數(shù)據(jù)。威脅行為者已經(jīng)能夠使用 AI 完成 80% 至 90% 的攻擊活動(dòng)，僅在極少數(shù)情況下需要人工介入。

與此同時(shí)，一個(gè)真實(shí)存在的覆蓋盲區(qū)也在被討論。Project Glasswing 的 12 個(gè)合作伙伴里，沒(méi)有任何一家加密行業(yè)的機(jī)構(gòu)。有比特幣開(kāi)發(fā)者直接問(wèn) Anthropic 為什么，沒(méi)有得到回復(fù)。而加密軟件往往不可變更、包含巨大財(cái)務(wù)價(jià)值、全球分布式部署——從某種意義上說(shuō)，這些系統(tǒng)對(duì) Mythos 級(jí)別的自動(dòng)化攻擊最為脆弱，卻是防御圈子里的「無(wú)人區(qū)」。

02

A 社的復(fù)雜時(shí)刻

理解 Mythos 的沖擊力，不能脫開(kāi) Anthropic 過(guò)去幾周的處境來(lái)看。

就在 Mythos 發(fā)布的同一天，Claude 服務(wù)經(jīng)歷了一次大規(guī)模中斷。4 月 8 日，也就是今天，連接問(wèn)題仍未完全恢復(fù)，數(shù)百名用戶報(bào)告登錄失敗、聊天報(bào)錯(cuò)。這是連續(xù)兩天的服務(wù)故障——對(duì)于一家正在向企業(yè)級(jí)市場(chǎng)發(fā)力的公司來(lái)說(shuō)，這個(gè)時(shí)間節(jié)點(diǎn)相當(dāng)尷尬。

更早一些，三月末，Anthropic 在發(fā)布 Claude Code 2.1.88 版本時(shí)，意外泄露了近 2000 個(gè)源代碼文件和超過(guò) 50 萬(wàn)行代碼。安全研究員 Aaron Turner 的評(píng)價(jià)頗為冷峻：這次泄露壓縮了對(duì)手復(fù)制美國(guó)戰(zhàn)略優(yōu)勢(shì)的時(shí)間表，是智能體 AI 軍備競(jìng)賽中的地緣政治加速器。

四月初，Anthropic 還調(diào)整了 Claude Pro 和 Max 訂閱的政策，禁止用戶用訂閱額度為 OpenClaw 等第三方工具提供 Token——因?yàn)橛腥擞?200 美元/月的 Max 訂閱，跑了價(jià)值 1000 到 5000 美元的智能體任務(wù)。

把這些事件放在一起，Anthropic 正在同時(shí)應(yīng)對(duì)三條戰(zhàn)線：基礎(chǔ)設(shè)施的穩(wěn)定性、商業(yè)模式的邊界、以及現(xiàn)在最燙手的——它自己造出來(lái)的東西到底有多危險(xiǎn)。

Mythos 的發(fā)布方式，某種程度上是 Anthropic「負(fù)責(zé)任 AI」路線的一次高風(fēng)險(xiǎn)賭注。他們選擇了用最保守的方式托出一個(gè)最危險(xiǎn)的模型——告訴全世界「它能做什么」，同時(shí)拒絕「讓它去做」。這個(gè)操作的背后邏輯是：公開(kāi)威脅，才能推動(dòng)防守行動(dòng)；但開(kāi)放能力，則可能引爆連鎖災(zāi)難。

這個(gè)判斷是否正確，現(xiàn)在沒(méi)人知道。

03

沙箱破了，規(guī)則還沒(méi)寫(xiě)好

回到那個(gè)在某個(gè)普通夜晚發(fā)出指令的 Anthropic 工程師。

他沒(méi)有寫(xiě)什么精妙的 prompt，沒(méi)有繞過(guò)任何安全限制，沒(méi)有組建紅隊(duì)。他只是讓模型「去找遠(yuǎn)程代碼執(zhí)行漏洞」，然后去睡覺(jué)了。第二天，模型已經(jīng)替他完成了一個(gè)，專業(yè)安全研究員可能需要數(shù)周才能完成的工作。

這個(gè)故事最令人不安的地方不在于技術(shù)，而在于門(mén)檻。它不需要天才，不需要專業(yè)知識(shí)，不需要復(fù)雜的攻擊工程。任何一個(gè)知道如何下指令的人，理論上都可以得到同樣的結(jié)果。

CSIS 的分析指出，自動(dòng)化漏洞發(fā)現(xiàn)本質(zhì)上是雙刃劍——關(guān)鍵在于誰(shuí)先使用它。這個(gè)邏輯聽(tīng)起來(lái)像是在為武器競(jìng)賽辯護(hù)，但又殘酷地準(zhǔn)確。

電影《戰(zhàn)爭(zhēng)游戲》里的超級(jí)計(jì)算機(jī)，最終學(xué)會(huì)了「不玩」。

但現(xiàn)實(shí)世界沒(méi)有這個(gè)退出選項(xiàng)。Mythos 已經(jīng)存在，它的能力已經(jīng)被證明。無(wú)論 Anthropic 是否公開(kāi)發(fā)布，攻防兩方的玩家都已經(jīng)知道了：這條線，已經(jīng)被越過(guò)了。

接下來(lái)的問(wèn)題不再是「AI 是否能成為黑客」，而是「誰(shuí)來(lái)寫(xiě)新規(guī)則，誰(shuí)來(lái)執(zhí)行它」。

這個(gè)問(wèn)題，比任何漏洞都難修。

*頭圖來(lái)源：Medium

本文為極客公園原創(chuàng)文章，轉(zhuǎn)載請(qǐng)聯(lián)系極客君微信 geekparkGO

極客一問(wèn)

如果 AI 能自主發(fā)現(xiàn)并利用漏洞，

防守和攻擊的邊界還有意義嗎？