Anthropic AI 模型发现操作系统和浏览器中的零日漏洞:金融行业应对
Anthropic 的最新 AI 模型 Claude Mythos Preview 能够独立检测操作系统和 Web 浏览器中的未知漏洞,并开发利用这些漏洞的攻击载荷。这引起了英国金融监管机构的担忧,当局正在协调努力以评估对关键基础设施的风险。
模型的技术能力
4 月 7 日发布的 Claude Mythos Preview 展示了分析代码并识别零日漏洞的能力。该模型在主要平台上接受了测试,包括流行的操作系统和浏览器,发现了数千个缺陷。其成就之一是发现并修复了 OpenBSD 中一个存在 27 年的漏洞。
该公司尚未向公众发布该模型,仅限制“玻璃翼计划”(Project Glasswing)的特定组织访问。这一决定源于该模型按需生成有效利用程序的潜力,包括绕过防御的多阶段攻击。
采取这种方法的理由在于 AI 在网络安全任务中的演变。传统的漏洞搜索方法依赖人工专家劳动,限制了规模。AI 通过自动化分析和攻击合成加速了这一过程,但也增加了被滥用的风险。
监管与银行业的反应
英格兰银行与英国财政部、金融行为监管局、国家网络安全中心以及银行业代表举行了紧急会议。讨论重点在于保护 IT 基础设施的措施,特别是由于遗留系统和现代平台结合而变得脆弱的部分。
金融行业特别容易受到风险影响:旧系统通常包含未修补的漏洞,而 AI 可以快速扩大攻击规模。美国和加拿大也正在进行类似的咨询,涉及大型银行和保险公司。
- 关键会议参与者: 英格兰银行、英国财政部、英国金融监管机构。
- 讨论目标: 威胁评估、监控协议的制定。
- 计划步骤: 在未来几周内通知银行和交易所。
- 全球背景: 美国和加拿大采取了类似措施。
对网络安全行业的影响
此类模型的出现改变了网络安全的平衡。一方面,它们帮助开发人员更快地关闭漏洞;另一方面,它们降低了攻击者的门槛。银行被迫投资于基础设施更新和自动化检测系统。
专家指出,漏洞利用生成的速度快于软件补丁的发布。这刺激了向零信任架构和网络分段的转变。从长远来看,AI 可能成为红队演练的标准工具,但这需要严格的访问控制。
总体背景:基于 AI 的渗透测试工具市场每年增长 25%。像 Anthropic 这样的公司通过限制强大模型的传播来平衡创新与责任。
关键要点
- Claude Mythos Preview 模型在任何操作系统和浏览器中发现零日漏洞,并生成利用程序。
- 英国金融监管机构正在协调保护关键基础设施。
- 银行的风险包括过时的系统和加速的 AI 攻击。
- 通过“玻璃翼计划”限制访问以最小化威胁。
- 全球影响:美国和加拿大也在进行类似讨论。
— Editorial Team
暂无评论。