据《The Register》24日报道,AI安全初创公司RunSybil首席执行官Ari Herbert-Voss表示,将多款开源模型进行组合后,其漏洞检测能力可接近Anthropic的Mythos。
Ari Herbert-Voss是在新加坡举行的Black Hat Asia大会上作出上述表述的。
他表示,Mythos不仅能识别较为明显的漏洞,也擅长发现更复杂的问题,并将这一表现归因于“超线性扩展(supralinear scaling)”。
他指出,研究人员此前普遍认为,大语言模型的能力提升大致呈线性增长,但实际情况是,在数据、算力和时间等投入翻倍后,模型能力可能提升至4倍。不过,他同时认为,Mythos成本高昂,开源可能性也不高,因此对多数机构而言,开源替代方案更具现实意义。
在他看来,借助“scaffolding”框架并行调用多款开源模型,效果可以逼近Mythos。由于不同模型各有擅长的漏洞类型,这种方案也有助于弥补单一模型的识别盲区。
不过,他也强调,开源模型仍需要人类专家进行调度与编排,AI生成的漏洞报告也必须经过人工核验。他解释称,AI漏洞检测在某种程度上类似于fuzzing测试,即通过向软件输入随机数据来发现缺陷,因此同样容易产生大量告警,人工判断仍不可或缺。
他预计,未来安全专家仍将承担大量工作。此外,GPU和数据中心相关成本带来的经济压力,也会推动安全团队加快采用AI,进一步提升防御能力。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr