商傳媒|責任編輯/綜合外電報導
Anthropic開發的Claude Mythos AI模型,因其在網路安全領域的卓越能力而備受關注,該模型能以驚人速度發現軟體漏洞,甚至包含過去未知的「零日漏洞」(zero-day exploits),對全球企業的資安策略帶來全新挑戰。為此,美國財政部長Scott Bessent和聯準會主席Jerome Powell已緊急召集華爾街各大銀行執行長,商討其對金融系統的潛在資安風險。
根據《The New York Times》報導,Claude Mythos Preview模型能主動找出關鍵軟體中未被發現的漏洞,其速度和效率是人類資安研究團隊難以比擬的。Anthropic指出,這款模型有能力識別並利用主流作業系統及網路瀏覽器中的弱點。儘管Anthropic宣稱其模型過於危險不宜廣泛釋出,但透過一項名為「飛翼計畫」(Project Glasswing)的合作計畫,已將Claude Mythos模型分享給包括亞馬遜、蘋果、微軟、摩根大通、Nvidia、CrowdStrike及博通等逾40家科技及關鍵基礎設施公司,目的是讓這些合作夥伴在惡意行為者利用這些漏洞前,搶先修復產品中的問題。
然而,業界對Claude Mythos的獨特性存在不同看法。資安公司Aisle的研究顯示,GPT-OSS-120b、Qwen3 32B和Kimi K2等較便宜的開源模型,也能偵測到與Mythos發現的類似漏洞。《Tom’s Hardware》指出,雖然英國AI安全研究院(AISI)的基準測試表明Mythos在複雜漏洞發現與利用方面表現最佳,但衡量AI網路安全的生產函數涉及多重輸入,不單純是模型本身的「智慧程度」。此外,Anthropic模型在過去90天的運行時間僅98.4%,未達到企業級標準的99.99%,而OpenAI的API則能保持99.99%的運行時間,這對企業導入的可靠性構成挑戰。
與Anthropic的限制性策略不同,OpenAI正擴大其「網路可信存取計畫」(Trusted Access for Cyber program)的規模。據《Axios》報導,OpenAI計畫向數千個人和數百個資安團隊提供存取權限,前提是他們需完成嚴格的身分驗證,其中最高層級可獲取限制較少的GPT-5.4-Cyber模型。OpenAI網路研究員Fouad Matin表示,資安是一個團隊運動,不應篩選贏家和輸家。
對於企業高層和資訊科技專業人士而言,導入新型AI模型時,資安防護必須同步升級。金融服務資訊共享與分析中心(FS-ISAC)與美國國家標準暨技術研究院(NIST)皆建議企業,應將AI系統評估納入現有的風險評估和監控框架中,並遵循相關標準。專家也強調「人工介入」(human-in-the-loop)的重要性,確保AI的輸出作為建議而非自動決策,以避免AI產生錯誤或「幻覺」資訊。此外,由於AI工具高度依賴第三方數據,企業也須警惕供應鏈資安風險的加劇。
