商傳媒|葉安庭/綜合外電報導
隨著人工智慧(AI)技術日益精進,網路安全領域的攻防戰也正同步加速。最新分析指出,AI工具雖能提升攻擊者發現與利用資安漏洞的速度,但防守者也能運用這些工具及時修補漏洞,顯示當前爭論焦點應在於誰能率先取得這些先進工具,而非其存廢。
Anthropic 公司近期便公開其「Mythos級模型」Fable 5,該模型號稱具備偵測網路資安漏洞的能力。該公司雖表示已內建安全防護,但其「玻璃翼計畫」(Project Glasswing)在四月發布時,初期僅限 50 家組織取得 Mythos 模型,隨後擴大至 200 家,但因美國聯邦政府禁止外籍人士使用該模型,導致其推廣進度受阻。Anthropic 旨在透過分級發布,防止模型落入網路攻擊者手中。
然而,資安新創公司 Aisle 的測試卻顯示,攻擊者早已能接觸到性能相當的AI工具。Aisle 測試了多款開源(open-source)AI模型,結果發現這些「經濟實惠且開放權重」的模型,在發現多項資安漏洞方面的能力,與 Anthropic 的 Mythos 不相上下,甚至在某些基礎安全推理任務上超越了多家實驗室的前沿模型。例如,Aisle 指出有八款模型成功偵測出 Mythos 針對 FreeBSD 的漏洞,其中一款僅需 36 億個活性參數,每百萬個 Token 成本僅 0.11 美元。日本 AI 開發商 Sakana AI 也表示,其新型模型 Fugu 在性能上已「與 Fable 和 Mythos 匹敵」。
這代表開放原始碼模型的能力已與前沿模型不分軒輊,網路攻擊者取得高階 AI 工具已非理論。事實上,面對不斷出現的新軟體錯誤,AI 只是加速了發現這些漏洞的速度,並未改變資安防護的核心法則——即防守者需在漏洞被利用前找出並修補。尤其在自主代理型 AI(Agentic AI,可自主執行任務且極少人為干預的系統)興起後,漏洞發現與修補的速度更形重要。
分析師認為,美國聯邦政府限制或分級開放 AI 模型存取權,不僅可能阻礙本土防禦者的能力,也削弱了美國在 AI 領域的競爭優勢。當前政策無助於阻止惡意行為者獲取具備漏洞偵測能力的 AI 模型,卻可能使許多未獲授權的防禦者無法即時利用這些工具保護自身。這種由政府官員或大型企業主導 AI 發展的模式,可能扭曲市場競爭,阻礙創新,並將資源從研發轉移至法務與公關,導致小型業者難以投入競爭。有鑑於此,專家呼籲採取更開放且市場導向的策略,確保最先進的 AI 資安工具能廣泛應用,讓金融、公用事業、雲端平台等各行各業能主動掃描與修補網路安全漏洞。
