据CNBC当地时间8日报道,Anthropic的AI模型Mitous被曝可发现数千个软件漏洞后,全球银行、科技企业和政府机构随即提高警惕。不过,多名安全专家指出,即使不使用这一新模型,借助现有AI模型也能实现类似能力。
网络安全公司watchTowr Labs首席执行官Ben Harris表示,业内完全可以通过对公开模型进行有针对性的调优,复现与Mitous“非常相似”的漏洞发现效果。
CNBC报道称,网络安全公司Vidoc的研究人员通过联动多个模型和工具,采用将代码拆解为更小模块并逐一分析的模型编排方法,已利用OpenAI和Anthropic现有模型识别出与Mitous同类的漏洞。
Vidoc首席执行官Claudia Clock表示,现有模型已经足够强大,可以开展大规模零日漏洞检测,而这种能力其实在几个月前,甚至最早在一年前就已经具备。
安全公司AISLE创始人Stanislav Port说:“如果有1000名普通侦探把每个地方都搜一遍,找到的bug可能会比一名优秀侦探凭直觉判断重点区域更多。”
他认为,与其说关键在于最新模型,不如说更取决于规模和编排方式。多名安全专家还指出,朝鲜、中国和俄罗斯的黑客可能已经具备类似能力。Ben Harris形容,近期与银行、保险公司及监管机构的沟通氛围已接近“集体歇斯底里”。他同时强调,问题不在于Mitous是否公开,而在于即便在其大范围开放之前,相关方面也未能足够及时地修补漏洞。
报道称,Mitous目前仅向部分机构和企业有限开放。尽管少数早期获准接入的公司可以据此修补漏洞,但独立AI研究人员仍无法接入,既无法验证Anthropic的说法,也无法据此构建防御手段,因此引发外界批评。网络安全初创公司Tenzai首席执行官Pavel Gurbich表示,这种做法可能导致明显分化,并进一步拖慢网络安全创新。
Chi-gyu Hwang
delight@d-today.co.kr