英國《金融時報(bào)》近日報(bào)道稱，美國人工智能公司Anthropic的最新大模型Mythos引發(fā)了各國政府和企業(yè)的擔(dān)憂，擔(dān)心它的網(wǎng)絡(luò)漏洞挖掘能力可能超越現(xiàn)有的網(wǎng)絡(luò)安全防御能力，加速黑客攻擊。隨著人工智能（AI）大模型的興起，AI能夠以遠(yuǎn)超傳統(tǒng)人力的效率，高效尋找網(wǎng)絡(luò)漏洞，進(jìn)而給全球網(wǎng)絡(luò)攻防戰(zhàn)帶來深遠(yuǎn)影響。中國是全球遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一，面對AI對網(wǎng)絡(luò)安全帶來的新挑戰(zhàn)，該如何應(yīng)對？

大模型挖掘漏洞能力已讓全球警惕

報(bào)道稱，這家美國公司本月初發(fā)布的大模型能比傳統(tǒng)人力辦法更快地檢測軟件缺陷。該公司宣稱，Mythos已經(jīng)跨越關(guān)鍵能力門檻，能夠自動發(fā)現(xiàn)并驗(yàn)證主流操作系統(tǒng)和瀏覽器中的未知安全漏洞（即“零日漏洞”），并探討該模型如何在閉源軟件上實(shí)現(xiàn)漏洞利用的逆向工程，以及如何將已知但尚未修補(bǔ)的漏洞轉(zhuǎn)化為實(shí)際攻擊手段。據(jù)稱它已經(jīng)發(fā)現(xiàn)數(shù)千個高危漏洞，其中不少已存在10年甚至20年之久卻未被發(fā)現(xiàn)。

業(yè)內(nèi)專家告訴《環(huán)球時報(bào)》記者，以往依靠人力發(fā)掘系統(tǒng)漏洞的難度非常大，需要特殊才能的專業(yè)黑客通過很長時間對代碼分析、研判和測試，時間動輒以年來計(jì)算，成本也非常高昂。

而Anthropic公司此前主張利用AI遠(yuǎn)超人類編程員的速度編寫代碼，為了確認(rèn)這些AI編寫的海量代碼的可靠性，因此發(fā)展挖掘系統(tǒng)漏洞的專用大模型，試圖“用AI檢測AI”。但業(yè)界認(rèn)識到，Mythos提供的這種能力是一把“雙刃劍”，它能夠高效地發(fā)掘此前未被發(fā)現(xiàn)的系統(tǒng)漏洞，但如果被惡意使用，也會大幅降低網(wǎng)絡(luò)攻擊的技術(shù)門檻，從而加劇系統(tǒng)被入侵、數(shù)據(jù)泄露及關(guān)鍵基礎(chǔ)設(shè)施癱瘓等風(fēng)險(xiǎn)。

《金融時報(bào)》稱，網(wǎng)絡(luò)安全與合規(guī)自動化平臺Vanta的首席執(zhí)行官克里斯蒂娜·卡喬波表示：“AI大模型帶來的網(wǎng)絡(luò)攻擊頻率和復(fù)雜度已經(jīng)在增加，大多數(shù)公司尚未準(zhǔn)備好應(yīng)對相關(guān)風(fēng)險(xiǎn)，因?yàn)樗鼈內(nèi)酝ㄟ^過時的方法，無法與AI驅(qū)動的攻擊速度相抗衡。”報(bào)道稱，2025年AI驅(qū)動的網(wǎng)絡(luò)攻擊較2024年同期增長了89%。

對于相關(guān)風(fēng)險(xiǎn)，Anthropic內(nèi)部也心知肚明。負(fù)責(zé)Anthropic前沿“紅隊(duì)”測試實(shí)驗(yàn)室模型的洛根·格雷厄姆表示：“有人可能會利用Mythos以自動化方式快速大規(guī)模發(fā)掘漏洞，而全球大多數(shù)組織，包括技術(shù)最先進(jìn)的機(jī)構(gòu)都無法及時修補(bǔ)。”

各國政府也意識到AI大模型發(fā)掘系統(tǒng)漏洞所帶來的風(fēng)險(xiǎn)。近日美國財(cái)政部長斯科特·貝森特和美聯(lián)儲主席杰伊·鮑威爾召集了美國一些最大的銀行，討論Mythos大模型帶來的網(wǎng)絡(luò)威脅。英國人工智能部負(fù)責(zé)人卡尼什卡·納拉揚(yáng)告訴《金融時報(bào)》，“我們應(yīng)該擔(dān)心”該模型的能力。德國聯(lián)邦銀行行長約阿希姆·納格爾提出，Mythos大模型應(yīng)向相關(guān)受影響機(jī)構(gòu)開放使用權(quán)限，以此保障行業(yè)公平競爭環(huán)境。

中國也要具備相應(yīng)能力

美國《紐約時報(bào)》稱，Anthropic將對Mythos的訪問權(quán)限控制在很小范圍內(nèi)。該公司目前重點(diǎn)與40多家為互聯(lián)網(wǎng)、電網(wǎng)等全球關(guān)鍵基礎(chǔ)設(shè)施提供技術(shù)的組織分享該大模型，Anthropic公布了11家機(jī)構(gòu)的名單，包括亞馬遜、蘋果和微軟，承諾幫助其開發(fā)針對大模型發(fā)現(xiàn)的系統(tǒng)漏洞的安全修復(fù)方案。

韓國《每日經(jīng)濟(jì)》網(wǎng)站注意到，Mythos發(fā)掘系統(tǒng)漏洞的能力與其他AI帶來的進(jìn)步不同，涉及國家級“網(wǎng)絡(luò)安全”問題，未來不具備相應(yīng)能力的國家將面臨困境。Anthropic聯(lián)合11家科技公司啟動的Glasswing項(xiàng)目，只向少數(shù)美國大科技和金融公司提供技術(shù)支持，而韓國企業(yè)不在該名單中。

作為全球遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一，中國該如何應(yīng)對這種新挑戰(zhàn)呢？新加坡《聯(lián)合早報(bào)》23日稱，中國網(wǎng)絡(luò)安全公司360集團(tuán)近日透露，該公司開發(fā)了一款A(yù)I驅(qū)動的“漏洞挖掘智能體”，發(fā)現(xiàn)了近1000個此前未知的漏洞，其中50余個被認(rèn)定為高危漏洞，覆蓋Windows內(nèi)核、Microsoft Office組件、OpenClaw以及多類物聯(lián)網(wǎng)設(shè)備等關(guān)鍵基礎(chǔ)設(shè)施軟件。這意味著漏洞發(fā)現(xiàn)正式進(jìn)入智能體自動化、規(guī)?；a(chǎn)的新階段。

360集團(tuán)創(chuàng)始人周鴻祎就此接受《環(huán)球時報(bào)》記者采訪時表示，利用傳統(tǒng)方法發(fā)掘系統(tǒng)漏洞沒有規(guī)律可循，基本都是靠“撞大運(yùn)”。也正是因?yàn)橄到y(tǒng)漏洞的“稀缺性”，傳統(tǒng)的網(wǎng)絡(luò)安全對抗模式，是“對方黑客發(fā)現(xiàn)漏洞，安全專家抵御黑客”。但如今隨著AI大模型的加入，這種人和人的對抗變成了算法、算力、機(jī)器和人力的對抗，讓國家網(wǎng)絡(luò)安全面臨嚴(yán)峻的挑戰(zhàn)。

周鴻祎表示，如果攻擊方具備類似Mythos的能力，對被攻擊方常見的代碼庫進(jìn)行掃描，可能將獲得比原來多數(shù)百倍的漏洞，這就意味著在攻擊方眼中，防御方就猶如篩子似的，到處是可以進(jìn)攻的突破點(diǎn)。在這種情況下，現(xiàn)在的關(guān)鍵基礎(chǔ)信息設(shè)施遭受網(wǎng)絡(luò)攻擊的概率可能增加了數(shù)百倍，攻擊難度則大幅降低，這是游戲規(guī)則的改變。為此，中國也必須發(fā)展利用AI發(fā)掘系統(tǒng)漏洞的能力。周鴻祎表示，“必須承認(rèn)的是，在大模型技術(shù)上，我們的確不如Anthropic，但可以通過其他方面進(jìn)行彌補(bǔ)”。他介紹說，Anthropic是AI企業(yè)，Mythos是完全依靠大模型的算法算力來搜尋系統(tǒng)漏洞。而360集團(tuán)是安全公司，在對漏洞的理解、漏洞的攻防利用代碼等方面積累更多，“漏洞挖掘智能體”結(jié)合了大模型和對編程代碼的理解，以及對漏洞和攻防的豐富經(jīng)驗(yàn)積累。

蘇黎世聯(lián)邦理工學(xué)院安全研究中心高級研究員尤金尼奧·貝寧卡薩在研究報(bào)告中提到，人工智能正從輔助工具向更接近于可擴(kuò)展的漏洞研究引擎的方向發(fā)展。

網(wǎng)絡(luò)安全對抗，下一步怎么發(fā)展？

在AI大模型加入之后，未來網(wǎng)絡(luò)安全對抗將怎么發(fā)展？周鴻祎表示，借助AI大模型發(fā)掘漏洞的能力，一方面可以主動挖掘己方系統(tǒng)中存在的漏洞，及時修補(bǔ)，防止為對手所用。另一方面，在對手大規(guī)模展開網(wǎng)絡(luò)攻擊的時候，防守方能通過算力批量產(chǎn)生自動化運(yùn)營的智能體，以算力對抗算力，以智能體對抗智能體，這樣才能繼續(xù)保持網(wǎng)絡(luò)安全攻防上的平衡。

周鴻祎表示，AI大模型給全球網(wǎng)絡(luò)安全帶來根本性變革。以往即便是網(wǎng)絡(luò)強(qiáng)國，想要找到足夠強(qiáng)大的技術(shù)人才也非常困難，正所謂“一將難求”，這就使得傳統(tǒng)網(wǎng)絡(luò)攻擊的能力范圍、頻度、廣度都受到攻擊方的黑客體力、精力制約。但AI大模型可以通過把黑客的作戰(zhàn)經(jīng)驗(yàn)“蒸餾”出來，變成智能體掌握的專業(yè)技能。只要算力支持，就可以復(fù)制成千上萬的黑客智能體，在整個網(wǎng)絡(luò)戰(zhàn)線上借助各個漏洞發(fā)起攻擊，很容易變成不對稱戰(zhàn)爭。

因此相應(yīng)的應(yīng)對方式也必須采用“用AI對抗AI、用算力對抗算力”的思路，通過“蒸餾”網(wǎng)絡(luò)安全專家的技能，發(fā)展足夠數(shù)量的“網(wǎng)絡(luò)安全智能體”?！叭绻辛丝梢耘繌?fù)制的網(wǎng)絡(luò)安全智能體，就像孫悟空拔一根毫毛變成很多小猴子一樣，復(fù)制出很多專業(yè)智能體去處理每個報(bào)警。在這個對抗過程中，專業(yè)的網(wǎng)絡(luò)安全專家將從繁雜的重復(fù)性工作中解脫出來，由智能體完成篩查、分析和驗(yàn)證，人類專家只在關(guān)鍵節(jié)點(diǎn)做出判斷?！?/p>

周鴻祎說，有人把漏洞挖掘智能體比作AI時代的“網(wǎng)絡(luò)核武器”，我們必須掌握它，才能避免網(wǎng)絡(luò)空間原有的平衡被隨意打破。