文︱刘澜昌
事情不只是简单的技术升级,而是规则直接被更改了,Anthropic推出的大模型Mythos, 被曝光有自动发现0日漏洞的能力,而且不光能找问题,还能验证攻击路径,这就意味着,网络安全从人找漏洞,进入到了机器大量制造漏洞的阶段了。
把时间线往回拽一拽,这个变化就更加清楚。
4月初的时候,Anthropic发布了Mythos, 对外说它是用来检测软件缺陷的,但实际测试已经表明,它能在主流操作系统。
和浏览器里自己发现漏洞,而且还能接着推断攻击方式
以前得顶级黑客花好几年时间才能做完的事情,现在模型能在更短时间内做完, 效率成指数级往上长。
据透露,这个模型已经发现了好几千个高危漏洞,其中不少已经存在了10年甚至20年, 却一直没被人类发现。
问题的关键不在于是能不能找漏洞,而在于谁都能用。
以前漏洞挖掘门槛特别高, 得有经验、时间还有资源,现在模型把门槛降低了,能力开始扩散开来。
这种变化,本质上就是一把双刃剑,既能用来修复系统,也能用来攻击系统。
要是被恶意使用,网络攻击的技术门槛就会很快变低, 攻击频率和复杂度一块往上长。
行业已经有数据了,2025年AI驱动的网络攻击相较于之前增长89%,这不是慢慢变化的, 而是结构性的跳跃。
各国的反应已经表明问题特别严重。
美国财政部长斯科特·贝森特和美联储主席杰伊·鲍威尔紧急召集大型银行开会议, 会议讨论的关键不是金融波动,而是AI带来的网络威胁。
英国政府公开说得担忧,德国方面则提出, 如果这类能力只掌握在少数企业手里,那就会破坏行业公平,换句话说,这项技术已经从工具变成了“权力。
再来讲讲技术分配的实际情况吧。
Anthropic并没有完全开放Mythos, 只是把访问权限给到大概40家关键机构,其中包含亚马逊、苹果、微软这类公司,这样有选择地开放, 从本质上来说,就是在掌控能力的流向。
Glasswing项目更加过分,只是为少数美国科技和金融机构提供服务, 其他国家的企业基本上就被排除在外了,技术开始有了层级之分, 能力也开始集中起来,网络安全渐渐就成了一种被分配的资源了。
在这样的背景下,中国所面对的压力是真真切切而且直接的。
中国是全球遭受网络攻击比较严重的国家之一,要是对手都已经到了AI化攻击的阶段, 然而防守还停留在人力模
式,那么结果基本上是能够预想得到的,系统会出现不少暴露的地方,防御体系会很快被突破。
360集团的实践已经表明了这一点,它的漏洞挖掘智能体发现了近1000个未知漏洞,这里面有50多个还是高危漏洞,涉及操作系统、办公软件还有物联网设备等, 这意味着漏洞挖掘已经从手工探寻变成自动化生产了。
对抗模式的转变是更深入的变化所在。
以前是黑客和安全专家之间的较量,而现在正发展成算力和算力、算法和算法之间的竞争, 周鸿祎讲得很直白,规则已经变了。
AI可以把专家经验提炼成模型能力,然后复制成大量智能体,这就意味着攻击能力能够大规模复制, 不再依靠个体天赋了。
网络攻防由此进入一种典型的不对称状态攻击成本不断往下降, 防守压力一直往上升。
应对的途径也就清楚了。
只能依靠AI来对抗AI,用计算能力去平衡计算能力,通过构建大量安全智能体,对漏洞进行自动化的发现、分析与修补,将防御体系从人推动变成系统推动,在这个过程当中,人类专家从重复性的工作中脱离出来,转到关键的决策环节, 这并不只是效率的问题,更是关系到生存的问题,因为要是漏洞发现的速度比修补的速度快,系统就会长期处在风险之中。
再往前推进一点,这个变化不只是技术方面的事情了, 已经涉及到国家安全方面,漏洞挖掘智能体被叫做网络核武器,不是随便的比喻,它有着高破坏性、低门槛扩散以及难防御的特点,一旦被大规模使用,就会对关键基础设施造成系统性威胁,从金融系统到能源网络,再到通信系统,随便哪一个环节出问题,都有可能引发连锁反应。
最后,问题就集中到一个核心点上,是不是有这种能力
要是没有的话,那就只能够被动地去接受规则, 被动地去修补漏洞,被动地去承担风险。
AI正在以比传统技术演进节奏快得多的速度重新书写网络安全的底层逻辑。
未来的竞争,不再仅仅是谁更安全,而是谁更早完成AI化转型。
在这个过程之中,主动权和被动权的差距会迅速拉大。
热门跟贴