江蘇
文︱劉瀾昌
事情不只是簡單的技術升級,而是規則直接被更改了,Anthropic推出的大模型Mythos, 被曝光有自動發現0日漏洞的能力,而且不光能找問題,還能驗證攻擊路徑,這就意味著,網絡安全從人找漏洞,進入到了機器大量制造漏洞的階段了。
把時間線往回拽一拽,這個變化就更加清楚。
4月初的時候,Anthropic發布了Mythos, 對外說它是用來檢測軟件缺陷的,但實際測試已經表明,它能在主流操作系統。
和瀏覽器里自己發現漏洞,而且還能接著推斷攻擊方式
以前得頂級黑客花好幾年時間才能做完的事情,現在模型能在更短時間內做完, 效率成指數級往上長。
據透露,這個模型已經發現了好幾千個高危漏洞,其中不少已經存在了10年甚至20年, 卻一直沒被人類發現。
問題的關鍵不在于是能不能找漏洞,而在于誰都能用。
以前漏洞挖掘門檻特別高, 得有經驗、時間還有資源,現在模型把門檻降低了,能力開始擴散開來。
這種變化,本質上就是一把雙刃劍,既能用來修復系統,也能用來攻擊系統。
要是被惡意使用,網絡攻擊的技術門檻就會很快變低, 攻擊頻率和復雜度一塊往上長。
行業已經有數據了,2025年AI驅動的網絡攻擊相較于之前增長89%,這不是慢慢變化的, 而是結構性的跳躍。
各國的反應已經表明問題特別嚴重。
美國財政部長斯科特·貝森特和美聯儲主席杰伊·鮑威爾緊急召集大型銀行開會議, 會議討論的關鍵不是金融波動,而是AI帶來的網絡威脅。
英國政府公開說得擔憂,德國方面則提出, 如果這類能力只掌握在少數企業手里,那就會破壞行業公平,換句話說,這項技術已經從工具變成了“權力。
再來講講技術分配的實際情況吧。
Anthropic并沒有完全開放Mythos, 只是把訪問權限給到大概40家關鍵機構,其中包含亞馬遜、蘋果、微軟這類公司,這樣有選擇地開放, 從本質上來說,就是在掌控能力的流向。
Glasswing項目更加過分,只是為少數美國科技和金融機構提供服務, 其他國家的企業基本上就被排除在外了,技術開始有了層級之分, 能力也開始集中起來,網絡安全漸漸就成了一種被分配的資源了。
在這樣的背景下,中國所面對的壓力是真真切切而且直接的。
中國是全球遭受網絡攻擊比較嚴重的國家之一,要是對手都已經到了AI化攻擊的階段, 然而防守還停留在人力模
式,那么結果基本上是能夠預想得到的,系統會出現不少暴露的地方,防御體系會很快被突破。
360集團的實踐已經表明了這一點,它的漏洞挖掘智能體發現了近1000個未知漏洞,這里面有50多個還是高危漏洞,涉及操作系統、辦公軟件還有物聯網設備等, 這意味著漏洞挖掘已經從手工探尋變成自動化生產了。
對抗模式的轉變是更深入的變化所在。
以前是黑客和安全專家之間的較量,而現在正發展成算力和算力、算法和算法之間的競爭, 周鴻祎講得很直白,規則已經變了。
AI可以把專家經驗提煉成模型能力,然后復制成大量智能體,這就意味著攻擊能力能夠大規模復制, 不再依靠個體天賦了。
網絡攻防由此進入一種典型的不對稱狀態攻擊成本不斷往下降, 防守壓力一直往上升。
應對的途徑也就清楚了。
只能依靠AI來對抗AI,用計算能力去平衡計算能力,通過構建大量安全智能體,對漏洞進行自動化的發現、分析與修補,將防御體系從人推動變成系統推動,在這個過程當中,人類專家從重復性的工作中脫離出來,轉到關鍵的決策環節, 這并不只是效率的問題,更是關系到生存的問題,因為要是漏洞發現的速度比修補的速度快,系統就會長期處在風險之中。
再往前推進一點,這個變化不只是技術方面的事情了, 已經涉及到國家安全方面,漏洞挖掘智能體被叫做網絡核武器,不是隨便的比喻,它有著高破壞性、低門檻擴散以及難防御的特點,一旦被大規模使用,就會對關鍵基礎設施造成系統性威脅,從金融系統到能源網絡,再到通信系統,隨便哪一個環節出問題,都有可能引發連鎖反應。
最后,問題就集中到一個核心點上,是不是有這種能力
要是沒有的話,那就只能夠被動地去接受規則, 被動地去修補漏洞,被動地去承擔風險。
AI正在以比傳統技術演進節奏快得多的速度重新書寫網絡安全的底層邏輯。
未來的競爭,不再僅僅是誰更安全,而是誰更早完成AI化轉型。
在這個過程之中,主動權和被動權的差距會迅速拉大。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
