前 CISA 局長等多位資安領袖聯合示警：企業須重新校準風險指標迎戰 AI 漏洞潮

Anthropic 發布具漏洞發現與利用能力的 AI 模型，雲端安全聯盟聯合數十位資安領袖發布策略簡報，呼籲企業重新評估風險假設並強化防禦準備

雲端安全聯盟（Cloud Security Alliance，CSA）近日針對 Anthropic 最新發布的 Claude Mythos 模型發布緊急策略簡報，警告一場「AI 漏洞風暴」即將來襲。這份由數十位資安領袖共同撰寫的報告指出，當攻擊者取得類似 AI 能力時，現有的修補週期與應變流程將難以因應，資安長（CISO）必須立即著手調整防禦策略。

Claude Mythos 的破壞性潛力

Anthropic 於本月稍早發布 Claude Mythos Preview，這是一款通用型大型語言模型（Large Language Model，LLM），但該公司特別強調其在資安任務上的卓越能力。根據 Anthropic 說明，Mythos 能夠發現並利用主流作業系統與網頁瀏覽器中的複雜高嚴重性漏洞。在近期實驗中，該模型發現了數千個漏洞，甚至成功利用 OpenBSD 中一個已修補長達 27 年的缺陷。

AI 協助漏洞發現並非全新概念。美國國防高等研究計畫署（DARPA）的 AI 網路挑戰賽去年在 DEF CON 落幕，已展現 AI 在此領域的潛力。然而 Mythos 的突破在於其「利用」漏洞的能力，形同一套渦輪增壓版的滲透測試工具。

理論上，Mythos 可協助防禦者與廠商強化關鍵軟硬體安全。但報告作者群警告，攻擊者濫用此類能力的潛在風險同樣顯而易見。

Project Glasswing：一億美元讓防禦者搶先起跑

為因應這項技術可能帶來的衝擊，Anthropic 同步宣布啟動 Project Glasswing 計畫。這項計畫將 Mythos 提供給 Apple、AWS、Microsoft 等數十家知名企業優先測試，讓這些組織能運用 Mythos 對自身產品與基礎設施進行漏洞掃描，在攻擊者取得同等工具前建立防禦優勢。

Anthropic 為此計畫投入一億美元的 Mythos Preview 使用額度，並捐贈四百萬美元給開源安全組織。該公司直言，Mythos 可能「重塑網路安全」的基本格局。

Project Glasswing 的策略意圖相當明確：與其讓這項技術在缺乏準備的情況下流入攻擊者手中，不如先讓主要軟硬體廠商熟悉其能力，在產品正式普及前完成必要的安全強化。

CSA 報告：攻擊者將獲得不對稱優勢

CSA 的策略簡報由 SANS Institute 首席 AI 長 Rob T. Lee 等人在數天內緊急完成。報告的共同作者包括前美國網路安全暨基礎設施安全局（CISA）局長 Jen Easterly、前白宮網路總監 Chris Inglis、Google 資安長 Heather Adkins、漏洞修補領域先驅 Katie Moussouris、密碼學家 Bruce Schneier，以及前美國國家安全局（NSA）網路安全總監 Rob Joyce 等人。

報告核心論點指出：雖然 AI 能加速修補程式的開發與部署，但防禦者的負擔將因攻擊者開發利用程式的能力而大幅增加。組織內部固有的修補限制，包括資源與人力不足、關鍵服務無法承受停機等因素，都將放大這種攻防失衡。

報告明確指出：「攻擊者將獲得不對稱優勢，而現有的修補週期、應變流程與風險指標並非為此環境而設計。」

重新校準風險指標與資源配置

面對這波變革，CSA 報告強調防禦者必須「調整風險計算方式」，並「重新配置資安計畫資源，以因應更大量的修補需求、更短的修補時程，以及更持續的複雜攻擊」。

報告提出以下具體建議：

• 強化基礎防護：網路分段、出口流量過濾、多因素驗證（Multi-Factor Authentication，MFA）與縱深防禦仍是根本，能有效提高攻擊者的入侵難度。
   
• 建立穩健的相依性管理：降低開源與第三方元件帶來的漏洞風險。
   
• 導入自動化安全評估：運用 LLM 執行自動化安全檢測，提升發現與修補漏洞的效率。
   
• 全面引入 AI 代理至資安團隊：為跟上攻擊者的節奏，組織應在各層面導入 AI 代理協助防禦工作。
   
• 重新評估停機風險容忍度：當修補頻率與緊急程度同步上升，組織必須重新權衡營運中斷的可接受程度。
   
• 強化產業協作：更新供應商導入的治理流程，並加強業界情資分享與協作機制。

為更高的工作負荷做好準備

CSA 首席分析師 Rich Mogull 表示，儘管業界對 Mythos 本身的看法仍有分歧，但「這項技術正以驚人速度發展，代表我們對漏洞與修補的基本風險假設已經改變」。

報告警告，漏洞揭露的頻率與數量將超越過往任何經驗。組織應預期需要應對更多資安事件，並為團隊可能面臨的倦怠做好準備。報告建議：「在強化自動化的同時，應申請額外人力與預算作為儲備能量，避免現有人員過度消耗。」

Mondoo 資安長 Patrick Münch 認為，AI 正在根本性地改變漏洞發現的速度與規模，Anthropic 讓防禦者優先取得這項能力是「正確的直覺」。他進一步指出：「有效的存取控制、即時監控與安全穩健性，對於資安工具、平台與服務而言將變得更加關鍵。」這番觀點為組織評估與採購資安解決方案提供了明確方向。

本文轉載自darkreading。