當Anthropic在本月初高調宣布要利用其最新AI模型來強化網路安全時,業界充滿懷疑的聲音。然而,Mozilla 基金會近期公布的一項成果,證實透過Anthropic專為資安 設計的「Claude Mythos Preview」特化模型,成功在其最新版本的Firefox 瀏覽器中找出高達271個安全漏洞,並且完成相關修補。
這不僅證明Anthropic備受矚目的「Project Glasswing」資安計畫並非紙上談兵,也為AI投入防禦端應用形式立下一個重要的里程碑。而在生成式AI經常被指責可能淪為駭客 編寫惡意程式幫兇的當下,由Mozilla這樣中立的第三方非營利組織,出面證實AI在防禦端的具體貢獻,顯然格外有其說服力。
271個漏洞無所遁形,但AI仍未超越「人類極限」
由Mozilla與Anthropic合作的安全盤點,充分展現大型語言模型在程式碼稽核上的驚人潛力。透過Claude Mythos模型的協助,Firefox開發團隊在極短的時間內清除多達271個潛在的零日 (Zero-day)及深層漏洞。
然而,Mozilla也在官方部落格中指出:「到目前為止,我們還沒有發現任何一個該模型能找到,但人類專家在有足夠時間與資源情況下,卻找不到的漏洞類別或複雜問題」。
這段話意味目前頂尖AI在網路安全領域的破解能力,實際上仍未真正超越人類的「極限」,同時AI也尚未發展出人類完全無法理解的新型態攻擊手法,真正的優勢仍侷限在於「速度」與「規模」,而人類專家目前仍需花費長時間與大量心思投入檢查,才能揪出程式碼內的潛在漏洞。
防禦者的福音:逆轉攻防雙方的成本不對等
儘管AI找出漏洞手法並未跳脫人類專家既有認知範疇,但這對資安防禦者 (Defenders)而言,卻是個天大的好消息。
長久以來,網路安全領域存在著嚴重的「成本不對等」。駭客可以花費數個月的時間、集中頂尖人力去尋找軟體中萬分之一的破口,而防禦方卻必須確保整個龐大系統的每一個角落都萬無一失。
當Claude Mythos這類模型出現,正在徹底改變這個經濟學模型——它讓「找出漏洞」的成本變得極度低廉。意味防禦者可以透過更低成本、更快速度進行全方位掃描時,將使攻擊者的時間優勢變得被大幅削弱。
選擇權仍交給使用者
值得一提的是,Mozilla雖然在後端的程式碼開發與安全維護上積極擁抱AI技術,但他們依然維持對使用者隱私與選擇權的承諾。對於那些在日常瀏覽網頁時,不希望個人資料受到任何生成式AI介入或干擾的Firefox用戶,Mozilla在過去幾個月的更新中,早已提供「全面關閉AI輔助」的選項,讓瀏覽器可以完全避免AI介入干擾的問題。
《原文刊登於合作媒體mashdigi,聯合新聞網獲授權轉載。》
討論區