编者按
美国网络安全领域权威机构与英国人工智能安全研究所(AISI)最新报告显示,Anthropic公司Claude Mythos预览版模型在自主网络攻击能力上实现突破,在夺旗挑战及端到端网络攻击模拟中表现远超以往模型,极大缩短了漏洞从发现到武器化的时间窗口,使得攻击方获得非对称优势。相关报告建议,防御体系必须加快采用人工智能驱动的手段,构建弹性架构,以应对即将到来的大规模漏洞利用浪潮。
美国云安全联盟(CSA)、SANS研究所和开放式全球应用程序安全项目(OWASP)4月12日联合发布题为《“人工智能漏洞风暴”:构建“Mythos准备就绪”的安全计划》称,Mythos模型在技术和战略层面都与以往的能力截然不同,该模型展现出三种与众不同的能力:一是无需框架搭建即可进行漏洞利用;二是能够识别复杂的连锁漏洞;三是仅需单次提示即可完成更多任务,无需复杂的框架搭建或代理配置。
英国人工智能安全研究所结合夺旗演练和网络靶场测试发现,Mythos模型不仅提高了非专家和初级技术人员的能力上限,还缩小了两者间黑客技术水平的整体差距。在夺旗竞赛方面,没有任何大模型在2025年4月前能够完成任何专家级夺旗题目,而Mythos成功解决了其中近四分之三(73%)的题目;在网络靶场测试方面,Mythos模型是首个彻底解决包含32个步骤的整体网络攻击模拟问题的模型,在10次尝试中成功了3次,平均完成了32步中的22步,而表现次优的Claude Opus 4.6模型平均只完成了16步。英国人工智能安全研究所指出,Mythos预览版模型在评估范围内也展现出一些网络能力上的不足,例如无法完成以运营技术为重点的网络靶场“冷却塔”的测试,但这并不一定意味着该模型在运营技术环境中执行攻击的能力很差,该模型只是在该靶场的IT部分遇到了困难;Mythos预览版模型在网络靶场上的优异表现表明,它在获得网络访问权限的前提下,至少能够自主攻击小型、防御薄弱且易受攻击的企业系统。
美国网络安全权威机构报告提出,基于人工智能的攻击代表着攻防方式的结构性转变,而且这种转变不会逆转,Mythos模型代表人工智能驱动的漏洞发现和利用正加速发展的趋势;该模型能够自主地在主要操作系统和浏览器中发现数千个关键漏洞,无需人工指导即可生成可用的漏洞利用程序,并支持自主攻击编排,所有这些都以超越以往任何能力的速度和规模实现;人工智能降低了发现和利用漏洞的成本和技能门槛,漏洞披露到武器化的时间正在无限缩短,以前需要国家级资源才能实现的能力现在正变得触手可及,使得攻击者获得了非对称优势;短期内,攻击者利用人工智能发现和利用漏洞的速度比防御者修复漏洞的速度更快,因此防御方“很可能不堪重负”。报告提出,当前的补丁周期、响应流程和风险指标无法应对最新网络威胁发展动态,防御方必须做好“Mythos准备就绪”的准备,重点包括三项:一是构建弹性架构,限制攻击者利用漏洞的能力,控制被利用后的影响;二是强化主动发现,在对手或供应商公告发布前,自行发现更多漏洞;三是实施快速响应,应对大规模安全事件,减少业务中断。英国人工智能安全研究所则指出,Mythos模型测试凸显出网络安全基础知识的重要性,例如定期应用安全更新、实施强有力的访问控制、进行安全配置以及全面记录日志;未来的前沿模型将更加强大,因此立即投资于网络防御至关重要;人工智能网络能力具有双重用途,在带来安全挑战的同时,也能帮助实现防御方面的颠覆性改进。
奇安网情局编译有关情况,供读者参考。
美国前高级网络官员和英国政府顶级人工智能研究机构日前发布的两份报告揭示了顶级防御者如何看待Anthropic公司Claude Mythos预览版模型的黑客能力。
云安全联盟(CSA)、SANS研究所和开放式全球应用程序安全项目(OWASP)4月12日联合发布题为《“人工智能漏洞风暴”:构建“Mythos准备就绪”的安全计划》报告得出结论:在短期内,威胁行为者利用人工智能发现和利用漏洞的速度比防御者修复漏洞的速度更快,因此各组织“很可能不堪重负”。
虽然各机构可以利用人工智能工具来加快自身的防御速度,但防御者“仍然面临着相对更重的负担,因为修补机制本身存在局限性。这反过来又导致攻击者获得‘非对称收益’,因为他们有能力采用这项技术,而无需像数十亿美元的企业那样谨慎行事并遵守繁琐的程序。
报告主要作者SANS研究所首席人工智能官罗伯特·李、Knostic首席执行官加迪·埃夫龙和云安全联盟首席分析师里奇·莫古尔写道:“一年多来,人工智能驱动的漏洞发现和利用一直在加速发展。Anthropic的Claude Mythos预览版模型代表了这一发展轨迹的重大转变,它能够自主地在每个主要操作系统和浏览器中发现数千个关键漏洞,无需人工指导即可生成可用的漏洞利用程序,并支持自主攻击编排,所有这些都以超越以往任何能力的速度和规模实现。这种非对称性是结构性的。人工智能降低了发现和利用漏洞的成本和技能门槛,速度远超企业修复漏洞的速度。从发现漏洞到将其武器化的时间窗口已缩短至数小时。攻击者获得了不成比例的收益,而当前的补丁周期、响应流程和风险指标并非为应对这种环境而设计。”
该报告是美国对Claude Mythos模型能力做出的首批全面回应之一,其撰稿人包括前美国网络安全和基础设施安全局前局长詹·伊斯特利、前白宫和国家安全局高级网络安全官员罗布·乔伊斯以及前国家网络安全总监克里斯·英格利斯。
该报告还汇集了众多私营部门的重量级人物,例如谷歌首席信息安全官希瑟·阿德金斯、Luta Security首席执行官凯蒂·穆苏里斯以及Knostic首席技术官苏尼尔·于。此外,报告还邀请了70位首席信息安全官、首席技术官和其他安全高管担任编辑和审稿人。
英国人工智能安全研究所(AISI)4月13日发布博客文章,详细介绍了其对Claude Mythos预览版模型进行的测试结果,称其在网络安全领域比以往的Anthropic模型“更进一步”,能够“对易受攻击的网络执行多阶段攻击,并自主发现和利用漏洞”。
AISI的研究人员结合夺旗演练和网络靶场测试发现,Mythos模型不仅提高了技术水平非专家和初级用户的能力上限,还缩小了两者之间黑客技术水平的整体差距。换句话说,业余“脚本小子”和具备技术知识的中级黑客之间的能力差距正在逐渐缩小。
Mythos & Glasswing为什么很重要
《“人工智能漏洞风暴”:构建“Mythos准备就绪”的安全计划》报告指出,Mythos模型在技术和战略层面都与以往的能力截然不同,即便它的许多特性此前已存在,并在过去一年中有所发展。报告称,从技术角度来看,像Mythos这样的模型展现出三种使其与众不同的能力:
-
无需框架搭建(scaffolding)即可进行漏洞利用。Anthropic 的内部实验室环境测试表明,Mythos在Firefox上生成了181个可用的漏洞利用程序,而Claude Opus 4.6模型在相同条件下仅成功2次,这标志着Mythos在自主性和可靠性方面有了显著提升。
-
复杂的连锁漏洞。Mythos能够识别由多个相互关联的原语构成的漏洞,例如需要将多个内存损坏漏洞组合成单一攻击路径的场景。
-
“一次性”(单次提示)功能。Mythos仅需一次提示即可完成更多任务,无需复杂的框架搭建(scaffolding)或代理配置。
报告称,Mythos的规模和速度促使Anthropic创建了“玻璃之翼项目”(Project Glasswing) ,这可能是历史上规模最大的多方漏洞协调项目;Anthropic为部分关键基础设施提供商、行业合作伙伴和开源维护者提供了Mythos的早期访问权限,以便他们能够修复自己的产品;但“玻璃之翼项目”最大的局限在于其覆盖范围有限,全球可利用的攻击面远超任何精心打造的合作伙伴生态系统所能覆盖的范围,而且大多数构建或维护关键软件的组织都无法提前获得Mythos级别的功能;与此同时,竞争格局正在缩小这一窗口,如果其他前沿模型在数月内出现类似的攻击能力,而开放式模型在6个月到一年内也出现类似能力,那么提前获得Mythos级功能所带来的防御优势就必然是暂时的;“玻璃之翼项目”建立的协调模型至关重要,但其影响将在很大程度上取决于它扩大覆盖范围的速度,以及补丁和披露流程能否跟上AI的发展和对抗性攻击的普及。
对Claude Mythos预览版
模型网络能力的评估
英国人工智能安全研究所(AISI)对Anthropic的Claude Mythos预览版模型进行了网络安全评估,发现其在夺旗挑战中持续改进,并在多步骤网络攻击模拟中取得了显著改进。
在夺旗挑战赛中,AI模型必须识别并利用目标系统中的弱点来获取隐藏的“旗帜”(flag)。下图展示了Mythos预览版在网络夺旗测试套件上的表现,并与其他模型进行了比较。每个点代表模型在特定难度级别下的平均成功率。在专家级任务上——这是任何模型在2025年4月之前都无法完成的任务——Mythos预览版模型的成功率为73%。
上图展示了自2022年11月以来,相关模型在技术非专家和学徒级别的夺旗赛任务上的表现。GPT-3.5 Turbo到Claude 4 Opus平均运行10次,最多处理250万个token。GPT-5到Mythos Preview平均运行5次,最多处理250万个token。
上图展示了自2025年8月以来,相关模型在实践者和专家级别的夺旗任务中的表现。所有模型平均运行5次,达到5000万个token。
即使是专家级的夺旗竞赛也只能孤立地测试特定技能。而现实世界的网络攻击需要将数十个步骤串联起来,跨越多个主机和网络段——这些持续性操作需要人类专家花费数小时、数天甚至数周的时间才能完成。
为了初步评估这一问题,英国人工智能安全研究所(AISI)构建了“最后的幸存者”(The Last Ones,简称TLO):一个包含32个步骤的整体网络攻击模拟,涵盖从初始侦察到完全网络接管的整个过程。
Claude Mythos预览版模型是第一个从头到尾解决TLO问题的模型,在10次尝试中成功了3次。在所有尝试中,该模型平均完成了32步中的22步。Claude Opus 4.6是表现第二好的模型,平均完成了16步。
上图展示了,在“The Last Ones”任务中,完成的平均步骤数与总token花费的关系。每条线代表一个不同的模型,阴影区域显示了每个token预算下所有运行的最小值-最大值范围。1000 万token处的垂直虚线标记了几个模型样本量开始下降的位置。Mythos Preview、Opus 4.6和GPT-5.4在1亿token以内平均运行10次。Opus 4.5、GPT-5.1 Codex和Sonnet 4.5在1000万token以内平均运行15次,在1亿token以内平均运行5次。GPT-5.3-Codex在1000万token以内平均运行10次,在1亿token以内平均运行5次。Sonnet 3.7和GPT-4o仅在1000万token以内平均运行10次。随着测试的token预算增加,模型持续取得进展。灰色水平线表示攻击链中的重要里程碑。
英国人工智能安全研究所(AISI)指出,Mythos预览版模型在评估范围内也展现出一些网络能力上的不足,无法完成以运营技术为重点的网络靶场“冷却塔”的测试,但这并不一定意味着该模型在运营技术环境中执行攻击的能力很差,该模型只是在该靶场的IT部分遇到了困难。
英国人工智能安全研究所(AISI)指出,Mythos预览版模型在网络靶场上的成功表明,它至少能够自主攻击小型、防御薄弱且易受攻击的企业系统,前提是已获得网络访问权限;靶场与真实环境存在显著差异,使其更容易成为攻击目标,它们缺乏通常存在的安全功能,例如主动防御机制和防御工具;此外,该模型执行触发安全警报的操作也不会受到任何惩罚,这意味着无法确定Mythos预览版是否能够攻击防御严密的系统。
对网络安全防御的影响和建议
《“人工智能漏洞风暴”:构建“Mythos准备就绪”的安全计划》报告提出,基于人工智能的攻击代表着攻防方式的结构性转变,而且这种转变不会改变;利用漏洞发现的成本和能力门槛正在降低,漏洞披露到武器化的时间正在无限缩短,以前需要国家级资源才能实现的能力现在正变得触手可及;虽然早期的人工智能模型已经展现出与Mythos类似的漏洞发现能力,但Mythos的发布无疑引起了业界的广泛关注;防御者可以抓住这个机会,提出令人信服的商业论证,做好“Mythos准备就绪”的准备,迎接即将到来的大量补丁。
该报告提出,构建“Mytos准备就绪”的安全计划并非是对某个模型或公告做出被动反应,而是要从根本上缩小漏洞发现速度与组织响应速度之间的差距。“Mythos准备就绪”意味着:
-
构建一个弹性架构,限制攻击者利用已发现漏洞的能力,并在漏洞被利用时控制其影响。
-
在任何对手(或供应商公告)发布之前,自行发现更多漏洞。
-
快速响应大规模安全事件,并控制其影响,最大限度地减少业务中断。
英国人工智能安全研究所(AISI)指出,测试表明Mythos预览版能够利用安全防护薄弱的系统,而且很可能未来会开发出更多具备类似能力的模型;这凸显出网络安全基础知识的重要性,例如定期应用安全更新、实施强有力的访问控制、进行安全配置以及全面记录日志;未来的前沿模型将更加强大,因此现在对网络防御的投资至关重要;人工智能网络能力具有双重用途,它们在带来安全挑战的同时,也能帮助实现防御方面的颠覆性改进。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。