Anthropic最新發佈的大模型Claude Mythos預覽版，在識別網路安全漏洞和利用漏洞方面具備了前所未有的潛力，但雲安全聯盟日前警告稱，Mythos同時也降低了發現和利用漏洞的成本和技能門檻。雲安全聯盟由網路安全高管和美國前政府高級官員組成。Mythos或使得傳統銀行系統面臨前所未有的網路風險。

金融機構面臨棘手問題

Anthropic在4月上旬公佈Mythos模型，並稱之為“迄今在編程和智能體任務方面能力最強的模型”。由於編程能力強大， Claude Mythos預覽版能夠識別並利用每個主要電腦操作系統和每個主要網頁流覽器中此前未被發現的漏洞，這意味著目標系統可能會因此遭受嚴重影響。在用於處理音視頻檔的開源程式FFmpeg中，Mythos預覽版識別出存在16年之久的漏洞。

據路透社4月14日報道，企業AI安全公司Guardrail Technologies首席執行官TJ Marlin（TJ·馬林）表示，這對銀行及其他金融機構來說是棘手問題，因為它們所使用的技術架構將最先進的工具與數十年前的軟體相結合，這可能會暴露出大量漏洞。馬林表示，Mythos預覽版能夠審視複雜架構和傳統基礎設施，“這些未被發現的漏洞和複雜性問題如今變得可被訪問，並成為威脅因素。”

銀行業還高度互聯，許多公司使用同一套狹窄的軟體來接入客戶、處理交易。“這是一個非常專業化且受到嚴格監管的行業，存在很多IT互連。”曾在美國貨幣監理署工作的三藩市顧問納雷什·拉赫賈（Naresh Raheja）說，許多銀行都使用相同的供應商和相同的解決方案。馬林則表示，這可能成為漏洞的倍增器，使任何由AI驅動的攻擊“在規模上可能具有災難性後果”。

在4月12日的一份戰略簡報中，雲安全聯盟警告稱，Mythos代表了能力強大的AI模型的發展軌跡發生了重大轉變，它降低了發現和利用漏洞的成本和技能門檻，其速度甚至超過了機構組織的漏洞修補能力。

另據《衛報》報導，英國政府的AI安全研究所（AISI）週一警告稱，Mythos在構成網路威脅方面比之前的模型“更上一層樓”。Mythos可以執行需要多個步驟的攻擊，並在無需人工干預的情況下發現IT系統的弱點。而這些任務通常需要人類專家數天才能完成。Mythos是首個成功完成AISI創建的32步網路攻擊模擬的AI模型，在10次嘗試中解決了3次挑戰。AISI表示，Mythos似乎能夠自主攻擊小型、防禦薄弱的IT系統，但無法確定它能否攻擊防禦良好的系統。

多國官員與銀行會面商討

為應對Mythos帶來的金融風險，美國、加拿大和英國官員已與銀行會面，討論與Mythos相關的網路安全威脅。美國財政部長上周已召集高盛首席執行官大衛·所羅門（David Solomon）及其他美國大銀行家前往華盛頓討論Mythos模型。美國財政部表示，特朗普政府正推動金融機構“理解和預判廣泛的市場發展”，並計畫就這一問題舉行更多會議。

所羅門表示，他對Anthropic公司的Mythos模型能力“高度警覺”，並與這家科技公司緊密合作，增強網路和基礎設施韌性。“我們瞭解Mythos及其能力……我們擁有該模型。我們正與Anthropic以及我們所有的安全供應商緊密合作，盡一切可能利用前沿能力。”

AISI表示，未來的先進AI模型只會比Mythos更強大，因此現在對網路防禦進行投資至關重要。

據《衛報》報導，英國監管機構預計將在未來幾周內與英國銀行高管和政府官員討論Mythos的風險問題。由首席執行官以及來自英國財政部、英格蘭銀行、英國金融行為監管局和英國國家網路安全中心的官員組成的跨市場運營韌性小組（CMorg）計畫在未來兩周內舉行會議。

Anthropic曾表示，Claude Mythos預覽版不會向公眾全面開放。該公司邀請大型科技公司、網路安全供應商、摩根大通以及其他數十家機構私下評估該模型，並相應準備防禦措施。

網路安全公司TLPBLACK聯合創始人科斯汀·拉尤（Costin Raiu）表示，銀行業的傳統技術系統在幾十年前發佈，其中就包括IBM在內的公司生產的產品，多年來這些系統經歷了多次更新。在4月9 日的一篇博客文章中，IBM表示，Mythos正“迫使企業安全團隊從根本上重新思考其防禦措施”，並呼籲採取更多開源方式，讓更多公司和研究人員能夠使用該模型，從而使每個人都更加安全。

來源：中國澎湃新聞