近日,Anthropic公司正式推出了Claude Mythos预览版。这款先进的AIGC语言模型展示了令人瞩目的能力——不仅能够发现未公开的0Day漏洞,甚至可以自主编写出用于利用这些漏洞的攻击代码。为了确保这类强大的工具被用于防御而非攻击,Anthropic同步启动了名为“Glasswing”的项目,旨在与行业伙伴协作,抢先修复被AI发现的关键软件漏洞。
模型能力显著升级
与Opus 4.6等旧版本相比,Claude Mythos预览版实现了一次质的飞跃。以前的模型或许能识别出漏洞的蛛丝马迹,但很难将之转化为真正有效的攻击载荷。而Mythos预览版在内部测试中,成功对10个已经完成所有补丁更新的目标实现了完整的控制流劫持。这些高级的利用能力并非通过特定的指令编程获得,而是模型在整体逻辑推理和自主编码能力提升后的自然涌现。
自主漏洞利用生成
这款模型的强大之处在于,它能将多个软件缺陷串联起来,构建出能够绕过现代安全防护体系的复杂攻击链。例如,它曾自主编写出能够规避严格沙箱环境、突破内核地址空间布局随机化(KASLR)防护的网页浏览器漏洞利用程序,最终成功获取系统提权权限。这种高度的自动化意味着,即使是没有任何逆向工程或网络安全基础的用户,也可能在短时间内生成可造成远程代码执行的攻击代码。
历史漏洞挖掘成果
当这个AI助手被应用于真实的软件环境时,它发现了连人类研究员数十年都未曾察觉的关键0Day漏洞,其中包括:
- OpenBSD中存在27年的内存破坏漏洞:这个以安全性严苛著称的操作系统,其网络传输控制协议中存在一个复杂的有关符号整数溢出问题。
- FFmpeg媒体库中存在16年的缺陷:这个经过严格审计的流行库,其问题源于视频帧解码过程中整数大小与内存初始化不匹配。
安全防护机制
为了发现这些漏洞,AI需要在隔离的测试环境中自主完成从源代码分析、假设验证到编写概念验证(PoC)漏洞利用代码的全流程。Anthropic也承认,发布如此强大的漏洞发现工具可能在短期内让恶意攻击者获得危险的优势。因此,Glasswing项目在初期将严格限制,仅允许受信任的防御方使用该模型,以便在漏洞被野外利用之前完成修复。
安全专家们普遍持有一种观点:随着整个行业的逐步适应,这类先进的人工智能模型最终会成为不可或缺的防御工具,从而大幅提升全球软件生态系统的整体安全性。
参考来源:
对AI在网络安全领域的应用前景感兴趣?欢迎到云栈社区的安全技术板块,与更多开发者一起探讨前沿技术与伦理边界。 | 
发表于 1 小时前
|
查看: 2|
回复: 0
