廣告
AI狂挖漏洞引爆「bug末日」 駭客獲超能力攻擊全面升級
【編譯于倩若/綜合外電】《華爾街日報》在13日的報導指出,AI正在找出駭客可利用的漏洞(bug),準備迎接「漏洞末日」(Bugmageddon)。白宮與產業領袖正爭分奪秒修補這些弱點,而AI模型卻能以驚人的速度發現漏洞。
📌 本文摘要重點
(AI 摘要說明)1 Anthropic模型Mythos於2天內燒掉2萬美元,揪出隱藏27年的OpenBSD系統漏洞。
2 漏洞利用速度劇增,從8年前的847天縮短至今年不到1天內即遭駭客利用。
3 AI模型不僅能挖掘漏洞,更具備撰寫攻擊程式碼能力,引發全球資安後勤修補挑戰。
AI模型如Mythos高速挖出舊軟體漏洞 「bug末日」逼近 駭客攻擊同步加速
一個存在於OpenBSD作業系統的軟體bug,足以讓一套被防火牆、伺服器與網路設備廣泛使用的作業系統當機,而且長達超過27年都未被發現,但上個月,它被Mythos抓到了。Mythos是Anthropic最新推出的AI模型,已讓白宮、銀行高層以及全球資安專家感到不安。
Anthropic上周表示,目前正與約50家科技公司與組織合作,找出並修補漏洞,且暫時沒有將Mythos對外公開的計畫。
Anthropic負責評估AI風險團隊主管Logan Graham表示:「我們需要確定能在安全的情況下釋出它,但目前還不太清楚該如何在完全有把握的前提下做到這一點。」
Anthropic的競爭對手OpenAI也在推動類似計畫。據知情人士說法,該公司正向開發者提供一個以資安為核心的產品版本,讓他們能在漏洞被犯罪分子發現之前先行修補系統。Google也表示,正在規劃一項提供開發者搶先使用的計畫。
《華爾街日報》指出,像Mythos這樣的AI模型,正以前所未見的速度,在舊軟體中找出漏洞,幾乎宣告「bug末日」來到。與此同時,在AI的助力下,駭客也能比以往更快地利用這些漏洞。
Mythos已在大型科技公司內部引發一陣緊張應對,許多技術人員正試圖理解這個新模型將如何顛覆資安格局,並為他們的產品帶來各種新的威脅。
Mythos更擅長撰寫利用漏洞的程式碼
Mythos在2天內燒掉大約2萬美元運算資源,找出了這個27年都未被發現漏洞以及另外數十個問題。Anthropic也指出,在過去幾周,Mythos已證明自己更擅長撰寫能利用這些漏洞的程式碼。
近幾個月來,最新一代AI模型在資安領域的能力,已讓原本持懷疑態度的人改觀。他們開始擔心,隨著漏洞數量龐大且持續增加,修補工作將帶來前所未見的後勤挑戰,就像AI版的Y2K,當時全世界進行了一場修補行動,來修補那些無法理解「1999年之後年份」的程式。
許多資安專業人士認為,AI引發的漏洞危機可能會以類似的方式發展,但他們也指出,要在各式各樣的軟體中成功修補成千上萬個漏洞,將會是一項極為艱鉅的工程。
包括Sean Cairncross在內的白宮高層官員,正加緊應對Mythos與其他模型帶來的威脅,努力找出政府系統的弱點,並協調民間部門的回應。
投資人則擔心,這些變化可能會顛覆整個軟體業,上周資安公司的股價也因此下跌。
企業也擔心,過去被忽視的技術產品現在可能成為攻擊目標,而且不同於科技巨頭,那些開發較冷門產品的公司或軟體開發者,可能沒有足夠資源來應付這波大量修補需求。
雲端運算公司Fly.io資安研究員Thomas Ptacek表示:「攻擊那些以前沒有人在攻擊的各種基礎設施,將會變得容易得多。」
專家示警AI賦予駭客超能力
資安公司Sysdig資安長Sergej Epp公開了一個用「vibe coding」打造的網站,利用公開資料來展示,AI工具如何快速把新發現的漏洞轉變成可用於攻擊的軟體。
他表示,每套軟體都存在缺陷,而一旦漏洞被發現,就會展開一場競賽,一方是駭客,另一方是試圖修補漏洞的人,這其實是一場長期持續的攻防賽。
他指出,8年前,從漏洞被公開到實際遭到攻擊的平均時間是847天;到了去年,已經縮短到23天;而今年,多數漏洞在1天內就會被利用。
他呼籲科技業必須從根本上重新思考與重建軟體的開發方式,警告「AI正在賦予駭客超能力,而不是防禦者。」
