Anthropic 新 AI 發現 27 年陳舊漏洞，迫使網絡防禦發生結構性轉變

以 Anthropic 的 Mythos Preview 為首的一類人工智能模型目前正以足以壓倒科技行業防禦能力的規模發現安全漏洞。該模型最近在 OpenBSD 操作系統中發現了一個隱藏 27 年之久的漏洞，突顯了這一能力。這標誌著網絡安全領域的結構性轉變，從發現漏洞到將其武器化的時間正從數月縮短至數分鐘。

Corridor 首席安全官、Facebook 前安全負責人 Alex Stamos 表示：「大語言模型（LLM）目前已經超越了人類尋找漏洞的能力。」隨著 2025 年底先進模型的發佈，高質量 AI 發現漏洞的激增引發了被一些人稱為「漏洞末日」（bug armageddon）的現象，對整個軟件補丁生命週期提出了挑戰。

具體數據量化了防禦者面臨的壓力。漏洞賞金平台 HackerOne 報告稱，提交量較去年增長了 76%，而修復漏洞的平均時間則從 160 天激增至 230 天。同時，Anthropic 防禦聯盟的合作夥伴 Palo Alto Networks 報告稱，最快的 AI 輔助攻擊從初始訪問到數據洩露僅需 25 分鐘，這種速度是傳統的企業補丁週期（通常以數天或數周計）無法匹敵的。

這種攻防之間日益加劇的不對稱性對互聯網的基礎層構成了直接風險。全球大部分數字基礎設施（從操作系統到金融服務）都建立在開源軟件之上，而這些軟件通常由規模較小、甚至是志願者的團隊維護，他們現在正面臨著 AI 生成的漏洞報告的衝擊。其風險在於，此前被忽視或冷門的軟件正成為主要的攻擊媒介。

漏洞發現與修補之間的差距不斷擴大

維護關鍵基礎設施的開發人員的經歷說明了這種轉變。30 年歷史的數據傳輸工具 cURL 的首席開發人員 Daniel Stenberg 發現，2025 年其團隊被大量虛假的 AI 生成漏洞報告所淹沒。但到 2026 年初，情況發生了逆轉。在這一年的前三個月裏，他的團隊修復的合法漏洞比過去兩年的總和還要多，這主要歸功於 AI 輔助研究人員提交的高質量報告。

這種加速帶來了一場前所未有的挑戰。Sysdig 的首席信息安全官（CISO）Sergej Epp 創建了一個「零日時鐘」來可視化這一正在崩潰的時間線。八年前，漏洞公開披露到遭到攻擊之間的平均時間為 847 天。2025 年，這一數字縮短為 23 天。而今年，大多數漏洞在一天內就會被利用。雲安全聯盟（CSA）警告稱，安全組織可能會因為需要應用補丁以及應對 AI 發現的漏洞、利用程序和自主攻擊而「不堪重負」。

Glasswing 項目形成防禦陣線

作為回應，Anthropic 成立了 Project Glasswing，這是一個由約 50 家科技公司組成的聯盟，包括微軟、谷歌、亞馬遜雲服務（AWS）、思科和 Linux 基金會。該倡議允許這些合作夥伴訪問尚未發佈的 Mythos Preview 模型，以便在惡意行為者利用漏洞之前，先行發現並修復其系統中的缺陷。Anthropic 表示暫無公開分發的計劃，理由是誤用的風險極高。

「在 AI 出現之前，這些維護者就已經超負荷工作了，」正在嘗試使用該模型來幫助保障 Linux 內核安全的 Linux 基金會首席執行官 Jim Zemlin 表示，「這只會讓他們的生活變得更好。」

此舉並非沒有爭議，五角大樓將 Anthropic 標記為「供應鏈風險」，因為其要求政府不要將該技術用於自主武器，Anthropic 正在對此決定提出異議。儘管如此，該聯盟的成立凸顯了該技術的雙重用途性質。雖然模型可以用於防禦，但其能力不可避免地會擴散。據估計，最先進的開源模型（任何人都可以修改以移除安全防護欄）僅落後於 Mythos 等私有模型不到一年的時間。

這一進展讓軟件行業感到一陣寒意，部分網絡安全公司的股價因此下跌。投資者面臨的核心風險在於，任何軟件公司的價值部分取決於其安全態勢。隨著 AI 顯著降低了尋找漏洞的成本，擁有大量陳舊代碼或依賴資源匱乏的開源項目的公司將面臨風險概況的重新估值。

本文僅供參考，不構成投資建議。