WEDO 行銷日報
AI 攻防戰:Anthropic 如何用 AI 獵殺潛伏 27 年的漏洞?
Anthropic 的 Claude Mythos Preview 展示了強大的程式碼分析能力,促使 Project Glasswing 的啟動,利用 AI 防禦網路安全威脅,保護關鍵軟體。
AI 智能摘要
- AI 模型已具備超越人類專家的漏洞挖掘能力。
- Project Glasswing 匯集科技巨頭,共同應對網路安全。
- Anthropic 承諾投入巨額資源,支持開源安全。
AI 網路攻防:漏洞挖掘成軍備競賽?
AI 獵殺漏洞,防禦成關鍵
傳統網路安全防禦正面臨 AI 的進階威脅。AI 模型能夠更快速地發現並利用軟體漏洞,使得網路攻擊更頻繁,且更具破壞性。例如,AI 可在數小時內分析大量程式碼,找出人工需數月才能發現的漏洞。 Project Glasswing 的目標是利用 AI 提升防禦能力。若你的團隊缺乏 AI 技能,建議考慮導入外部 AI 安全顧問。若導入後三個月發現成效不彰(如:自動化防禦比例 < 10%),應及時調整策略。止損點:顧問合約到期前一個月。
Anthropic 加入防禦陣營
Anthropic 的 Claude Mythos Preview 展現出強大的程式碼分析能力,甚至能發現連人類專家都難以發現的潛在漏洞,顯示 AI 在安全領域的巨大潛力。例如,Mythos 發現 OpenBSD 中一個存在 27 年的漏洞。 這促使 Anthropic 聯合多家科技巨頭啟動 Project Glasswing,旨在利用 AI 防禦網路安全威脅,保護關鍵軟體。若企業有意參與,可關注 Anthropic 的後續合作計畫,例如參與早期測試或提供數據集。但若企業內部無相關資料集,可能難以參與。
Project Glasswing:科技巨頭聯手
Project Glasswing 匯集 Amazon、Apple、Google、Microsoft 等公司,共同應對日益嚴峻的網路安全挑戰。Anthropic 將投入 1 億美元的使用額度及 400 萬美元的捐款,積極支持開源安全。 台灣企業可評估參與相關開源專案,藉此提升自身防禦能力。若預算有限,可先從貢獻程式碼或參與社群討論開始,逐步建立 AI 安全能力。若台灣企業參與開源專案時,發現貢獻與企業目標不符,應適時調整參與策略。
AI 時代的網路安全策略
AI 模型在漏洞挖掘方面的能力已超越人類專家,能發現潛藏多年的高危漏洞。企業必須重新評估現有的安全策略,並將 AI 防禦納入整體安全架構之中。例如,評估現有防火牆是否能有效防禦 AI 驅動的攻擊。 建議從滲透測試入手,評估 AI 模型在發現和利用漏洞方面的能力。初期可設定 2-4 週的測試期。若發現 AI 未能有效提升防禦(例如,發現漏洞數量未顯著提升),則應調整策略。若測試環境與實際環境差異過大,則測試結果可能不準確。
Claude Mythos:AI 如何發現隱藏漏洞?
AI 的程式碼分析能力
Claude Mythos Preview 是一尚未正式發布的模型,它揭示了 AI 在程式碼分析上的重大突破。它能夠自動發現高危漏洞,其效率甚至超越了人類專家。例如,它能識別出人類專家在審查程式碼時容易忽略的細微錯誤。 企業應密切關注 AI 在程式碼審查上的應用。初期可小範圍試用,例如針對核心程式碼進行檢測,並觀察漏洞檢測率的變化,以此作為評估指標。若發現誤報率過高,應調整模型參數。但若缺乏足夠的標記資料,調整效果可能有限。
零日漏洞的威脅
Claude Mythos Preview 發現了數千個零日漏洞,這些漏洞存在於主流作業系統和瀏覽器中,攻擊者可利用這些漏洞在第一時間發動攻擊。例如,針對未及時更新的系統發動勒索攻擊。 若企業使用相關軟體,應立即更新至最新版本,並加強漏洞監控。建議設定 7 天的更新期限,逾期則需進行風險評估,並考慮暫時停用相關功能直至完成更新。若更新後出現系統不相容問題,則需回滾至舊版本並尋求解決方案。
案例:27 年 OpenBSD 漏洞
Mythos Preview 成功發現 OpenBSD 中一個存在長達 27 年的漏洞。攻擊者可通過連接到目標機器,遠程崩潰運行該操作系統的任何機器,後果不堪設想。 這凸顯了即使是經過安全加固的系統,也可能存在長期未被發現的漏洞。企業應定期進行安全審計,並採用多層次的防禦機制,降低風險。建議每年至少進行一次外部安全審計。若審計結果與內部評估差異過大,則需重新評估內部安全流程。
自主漏洞挖掘:AI 的優勢
Mythos Preview 能夠自主識別漏洞,並進一步開發相關的攻擊程式,無需人工干預。這明確表明 AI 在漏洞挖掘方面具有顯著的優勢,可大幅縮短攻擊準備時間。 企業可考慮使用 AI 工具自動化漏洞掃描流程,藉此降低人工成本。若掃描結果與人工審計結果差異過大,則需重新調整 AI 模型或檢查資料集,確保準確性。若企業目標與 AI 模型預設目標不符,則可能產生偏差。
Project Glasswing 的影響與展望
AI 防禦:長期抗戰
Anthropic 認為,全面防禦網路基礎設施可能需要數年時間,因為 AI 能力將在未來幾個月內迅速發展,這意味著我們需要立即行動,不能再被動等待。例如,AI 不斷學習新的攻擊技巧,防禦策略也需同步進化。 企業應制定長期 AI 安全策略,並持續進行更新,才能有效應對不斷演進的威脅。建議每年至少進行一次策略評估,確保與時俱進,並納入最新的 AI 安全技術。若策略更新頻率過高,則可能造成資源浪費。
軟體安全:刻不容緩
Cisco 的 Anthony Grieco 認為,AI 的發展已經改變了保護關鍵基礎設施的緊迫性。技術供應商必須積極採用新方法,而客戶也需要準備好快速部署這些方案。例如,在軟體開發過程中融入 AI 安全測試。 台灣企業應加強軟體供應鏈安全管理,定期評估第三方軟體的潛在風險。若供應商的安全能力不足,應考慮更換合作夥伴,或要求供應商加強安全措施。若台灣企業更換供應商,應確保資料轉移過程符合法規要求。
AWS 的防禦策略
AWS 的 Amy Herzog 表示,他們在威脅出現之前就建立了防禦系統,並將 AI 視為大規模防禦的關鍵技術。AWS 已經在安全運營中使用 Claude Mythos Preview,以強化程式碼。 台灣企業可以參考 AWS 的經驗,將 AI 無縫融入現有的安全體系之中。初期可先導入 AI 威脅情報系統,即時掌握最新的威脅態勢,並提前部署防禦措施。但若企業規模較小,導入複雜的威脅情報系統可能超出預算。
Microsoft 的合作願景
Microsoft 的 Igor Tsyganskiy 認為,AI 提供了前所未有的機會,可以負責任地改善安全並降低風險。與 Anthropic 合作,可以及早識別和降低潛在風險。例如,共同開發 AI 安全框架。 台灣企業可考慮與國際科技公司合作,共同開發 AI 安全解決方案。初期可以從參與相關技術社群開始,例如加入 Microsoft 的安全聯盟,藉此獲取最新的技術資訊。若合作過程中產生智慧財產權爭議,則應尋求法律協助。
台灣企業如何應對 AI 網路威脅?
安全意識提升:全員參與
網路攻擊不僅僅影響 IT 部門,更關乎企業的整體營運。因此,應加強員工的安全意識培訓,定期模擬釣魚攻擊,提高員工的警覺性,降低受騙風險。例如,模擬針對財務部門的詐騙郵件。 建議設定每月一次的培訓課程,並追蹤員工的參與度和測驗成績。若參與度低於 80%,則需調整培訓方式,例如採用更生動有趣的案例或互動式教學。在台灣,可納入常見的詐騙手法,如假冒政府機關或親友借錢。
資料保護:分級與權限
台灣企業需要重視資料分級,針對不同敏感度的資料採取不同的保護措施,避免資料外洩。嚴格控制資料的訪問權限,防止未經授權的訪問。例如,將客戶個資列為最高機密等級。 若涉及個資,則必須符合台灣個資法的相關規定,確保資料的合法使用與保護。若尚未落實資料分級,則應立即進行,並設定定期稽核機制,確保資料安全。在台灣,違反個資法可能面臨高額罰款。
供應鏈安全:風險評估
台灣企業需要評估供應鏈中的安全風險,確保供應商也具備足夠的安全防護能力,避免供應鏈攻擊。定期審查供應商的安全措施,確保其符合企業的安全標準。例如,要求雲端服務供應商通過 ISO 27001 認證。 若供應商發生資安事件,應立即評估對企業的影響,並採取相應的應對措施,例如暫停合作或更換供應商。建議設定每年一次的供應商安全審查,確保其符合企業的安全要求。在台灣,若供應鏈涉及跨境資料傳輸,需留意相關法規。
緊急應變:制定計畫
台灣企業應制定完善的資安事件應變計畫,包括事件通報流程、損害控制措施和復原計畫,以應對突發的資安事件。定期演練應變計畫,確保其有效性。例如,模擬勒索病毒攻擊並測試復原流程。 建議每年至少進行一次應變計畫演練,並根據演練結果進行調整,持續優化應變流程。若應變時間過長,則需要檢討流程並優化,以提升應變效率。在台灣,資安事件應依規定通報相關主管機關。
下一步:企業如何強化 AI 安全?
AI 安全團隊:專業分工
企業應建立專責的 AI 安全團隊,負責評估、部署和維護 AI 安全工具,確保 AI 系統的安全可靠。團隊成員應具備 AI、網路安全和資料科學等專業知識。例如,團隊成員應熟悉機器學習模型的弱點。 若預算有限,可考慮與外部 AI 安全顧問合作,藉此獲取專業建議。建議設定每月一次的顧問諮詢,確保團隊能夠及時掌握最新的 AI 安全技術和趨勢。若團隊成員缺乏足夠的 AI 知識,則可能難以有效評估安全風險。
威脅情報:主動監控
企業應建立威脅情報系統,主動監控網路上的潛在威脅,並利用 AI 分析威脅情報,預測可能的攻擊目標和方式,提前部署防禦措施。例如,分析暗網論壇上的威脅情報,預測可能的攻擊趨勢。 建議訂閱威脅情報服務,並定期更新情報庫,確保情報的時效性和準確性。若發現針對企業的威脅情報,則應立即採取防禦措施,避免遭受攻擊。但若情報來源不可靠,則可能產生誤判。
滲透測試:模擬攻擊
企業應定期進行滲透測試,模擬真實的攻擊場景,評估系統的安全性,並找出潛在的漏洞。滲透測試應涵蓋 AI 相關的漏洞,確保 AI 系統的安全。例如,測試 AI 模型的對抗樣本防禦能力。 建議委託專業的滲透測試公司進行測試,並根據測試結果修補漏洞,提升系統的安全性。建議設定每年一次的滲透測試,確保系統的安全。但若測試情境與真實環境差異過大,則測試結果可能不具參考價值。
AI 安全工具:導入與評估
企業應評估並導入適合自身需求的 AI 安全工具,例如 AI 驅動的漏洞掃描器、威脅檢測系統等,以提升安全防護能力。定期評估工具的效能,確保其有效性。例如,評估 AI 驅動的防火牆是否能有效阻擋新型攻擊。 建議先進行小範圍試用,評估工具的準確性和效率,再全面導入。若工具效果不佳,則應考慮更換或調整設定,確保工具能夠有效提升安全防護能力。若企業缺乏足夠的專業知識,可能難以有效評估 AI 安全工具。
核心問答
- Project Glasswing 的目標是什麼?
- 旨在利用 AI 防禦網路安全威脅,保護關鍵軟體。
- Claude Mythos Preview 的能力是什麼?
- 能夠發現高危漏洞,甚至超越人類專家的能力。
引用來源
-
Project Glasswing: Securing critical software for the AI era - Anthropic
Anthropic launches Project Glasswing, uniting tech giants to secure critical software using AI, committing $100M in credits and $4M in donations.
-
Cybersecurity in the age of AI - Anthropic
AI models have reached a level of coding capability where they can surpass all but the most skilled humans at finding and exploiting software vulnerabilities.
-
Frontier Red Team blog - Anthropic
Mythos Preview found a 27-year-old vulnerability in OpenBSD and a 16-year-old vulnerability in FFmpeg.
相關 WEDO 實戰案例
想看這個主題如何落到實際專案,可以從這些 WEDO 案例了解產業情境、服務內容與執行方式。
-
2026 · 公關活動
2026 臺灣工藝季|啟動記者會與全島工藝議題溝通
以「Flow Taiwan - 漫幸福・活自在」為核心,把 65 處以上工藝據點、百大文化基地、工藝島啟藝儀式與數位集章機制,整理成媒體能快速理解並延伸報導的公共文化敘事。
服務:記者會、媒體公關、文化活動傳播
-
2026 · 公關活動
梧棲圳岸福德宮|形象視覺規劃
為台中梧棲圳岸福德宮整理形象視覺與對外溝通素材,讓在地信仰、歷史脈絡與年度活動能以一致視覺語言對外呈現。
服務:形象視覺規劃、品牌識別溝通、社群內容設計
-
2026 · 內容與媒體
《AI 時代的一人公司經營學》媒體與內容發酵
以 AI 創業、一人公司與工作流轉型為核心議題,串連書籍、媒體採訪、讀書心得與長內容再利用。
服務:內容策略、媒體議題、AI 應用內容
電話:+886-2-66237010
Email:[email protected]
地址:台北市松山區南京東路五段 154 號 7 樓之 1