网络安全初创公司Depthfirst表示,其自研AI模型发现了Anthropic“mythos”此前未检出的更多漏洞,完成同类工作的成本仅为后者的十分之一。
据《福布斯》报道,Depthfirst已于3月完成8000万美元融资,当前估值为5.8亿美元。
Depthfirst首席执行官Qasim Mitani表示,在将模型优化为面向单一任务后,原本使用“mythos”需花费1万美元的任务,Depthfirst可将成本压缩至1000美元。
与此同时,Depthfirst还推出了“Open Defense Initiative”,将向企业和开源开发者提供总额500万美元的信用额度,用于使用其AI工具查找代码漏洞。该计划与Anthropic此前向约50家公司有限开放“mythos”的做法类似,但Depthfirst称不会设置准入筛选。项目初期,相关资源将优先提供给关键基础设施领域的开源开发者。
Mitani表示,限制这类技术的可及性并不可取。“如果攻击者也在使用这类模型,他们同样可能得到与我们类似的结果。”
Depthfirst披露,其发现的漏洞包括广泛使用的Web服务器NGINX中的一项问题。Mitani称,NGINX被互联网上约三分之二的热门网站采用;该漏洞自2008年起就已存在,18年来一直处于可被利用的状态。目前,NGINX的管理方F5 Networks计划发布补丁。
除NGINX外,Depthfirst的模型还在Linux中发现了一项严重漏洞,可被用于远程代码执行。《福布斯》称,该漏洞目前尚未修复。
在Chrome浏览器方面,Depthfirst也报告了相关漏洞。Google表示,已确认相关问题,并已修复其中两项漏洞。
在开源音视频处理软件FFmpeg中,Depthfirst称又发现了12项“mythos”未能检出的新漏洞。
《福布斯》指出,随着利用AI发起攻击的情况增多,业界围绕AI防御策略重要性的讨论正在升温。但并非所有人都认同,AI会显著提升互联网安全水平。FFmpeg维护者Jean-Baptiste Kempf表示,“即使不依赖AI,找到漏洞也并不难”,并称“发现漏洞很容易,真正困难的是把漏洞修好”。
Chi-gyu Hwang
delight@d-today.co.kr