震驚!Anthropic頂級安全模型Mythos被未授權用戶持續(xù)攻破

當紅的Anthropic頂級網(wǎng)絡安全模型Mythos 模型，會最終成為一個笑話么？

日前，據(jù)彭博社查閱的內(nèi)部文件及多位知情人士透露，一小批未經(jīng)授權的用戶，已經(jīng)持續(xù)獲得了Mythos模型的訪問權限。

據(jù)直接了解本次漏洞事件的知情人士披露，該非法訪問群體通過多重疊加手段，突破了權限壁壘。

包括關聯(lián)Anthropic第三方外包服務商體系的泄露訪問憑證、網(wǎng)絡安全領域研究者通用的開源探測工具，以及過往數(shù)據(jù)泄露事件中流出的模型技術接口信息等。

該群體并未攻破Anthropic核心平臺底層的零日級原生安全漏洞，而是利用了其第三方權限管控體系缺口、外圍系統(tǒng)接口權限監(jiān)控缺失的薄弱環(huán)節(jié)完成入侵。

整個過程也并沒有任何高階的黑客科技。

首先，從之前Mercor數(shù)據(jù)泄露的4TB文件中，搞出了 Anthropic API命名規(guī)則；然后，推測出幾個可能的endpoint地址；最后，用群里一個第三方評估承包商的合法憑證，直接就登進去了。

意外的是，全世界最危險的網(wǎng)絡武器在手，他們啥都沒干，只是用它建了幾個簡單的網(wǎng)站，連Anthropic的監(jiān)控都沒觸發(fā)。

直到他們把截圖發(fā)給彭博，然后天下皆知。

Mythos是Anthropic迄今為止研發(fā)的最強前沿大模型，專為深度網(wǎng)絡安全分析能力打造。

Anthropic此前已多次公開警示稱，這項技術自帶的極高原生風險。

它能夠系統(tǒng)性挖掘全球企業(yè)系統(tǒng)中成千上萬個未修復的軟件漏洞，并且可以生成完整、可落地的漏洞利用步驟，將這些系統(tǒng)缺陷轉(zhuǎn)化為網(wǎng)絡攻擊的攻擊武器。

因風險極高，Anthropic明確否決了該模型全部公開發(fā)布的計劃。

該模型的使用權被嚴格鎖死，僅開放給經(jīng)過前置資質(zhì)審核、全程深度審計的大型銀行、金融機構與極少數(shù)企業(yè)安全廠商，納入Anthropic“玻璃翼計劃（Project Glasswing”內(nèi)測項目。

而諷刺的是，就在Anthropic官方首次宣布該計劃的當天，這個私密線上論壇的少量用戶就已經(jīng)破解獲取了模型的訪問權限。

自此之后，該群體始終通過非官方渠道，持續(xù)穩(wěn)定地調(diào)用、交互使用這款模型。

時間長達兩周！

不得而知的是，還有哪些未經(jīng)審核的外部主體已經(jīng)獲取了該模型的訪問權限？這些主體又會利用模型的強大能力，實施何種潛在危害行為？

對此， Anthropic官方發(fā)言人向彭博社證實，公司已針對本次未授權訪問事件，啟動全面內(nèi)部安全調(diào)查。

他們表示，正在全方位加固全鏈路訪問權限管控、審計所有第三方延伸權限鏈條、撤回整個模型權限體系內(nèi)所有已泄露的風險憑證。

Anthropic同時重申，堅決反對高風險前沿AI技術無限制開放傳播，Mythos模型永遠不會向普通公眾開放。

但此次安全失守事件，進一步加劇了全行業(yè)對高風險前沿AI技術無法管控的普遍恐慌。

此前，美國財政部長斯科特·貝森特、美聯(lián)儲主席杰羅姆·鮑威爾等金融監(jiān)管高層，就已向華爾街各大銀行首席執(zhí)行官發(fā)出過緊急風險預警，明確指出Mythos具備系統(tǒng)性網(wǎng)絡安全隱患。

他們警示，這類自帶攻擊能力的前沿AI若不受管控地擴散，將會大規(guī)模沖擊全球數(shù)字基礎設施、整體企業(yè)網(wǎng)絡安全防線，造成系統(tǒng)性風險。

同時，這也徹底暴露出人工智能領域一個無解的困局——即便模型研發(fā)方把AI安全護欄放在最高優(yōu)先級，面對有明確入侵動機的外部主體，其依舊會脆弱不堪。

而當前背景是，全球國家背景黑客、網(wǎng)絡犯罪團伙、民間安全研究者，都在瘋狂爭搶這類高能力攻擊性AI系統(tǒng)的訪問權限。