Anthropic 透露了其未来计划：一旦能够确保安全性，该公司有意向公众发布性能与其漏洞挖掘 AI 模型 Mythos 相匹配的模型。

今年四月初，Anthropic 宣布开发出了一款名为 Mythos 的模型。该模型在挖掘编程代码中的安全漏洞方面表现极为出色，以至于公司决定只将其提供给选定的特定实体。因为如果允许不受限制的访问，将意味着网络犯罪分子可以迅速发现并利用软件缺陷。

这项访问计划被称为“玻璃翼计划”（Project Glasswing）。参与该计划的机构报告称，Mythos 确实能快速发现大量漏洞，但其中很少有是“人类在拥有足够时间和资源的情况下无法发现的”。不过，那些能够使用 Mythos 的人也时常表示，该模型发现的漏洞数量之多，在一定程度上超出了他们全部修复的能力范围。

仅仅 Mythos 的存在就引发了一阵小小的恐慌——日本政府下令进行全面的安全审查，印度当局也要求金融机构展开一轮大规模的漏洞修补行动——此外，业界也普遍意识到，即使是能力稍逊的 AI 模型也是相当不错的漏洞挖掘工具，这意味着网络防御者现在必须做好心理准备：攻击者将更频繁地将更多漏洞武器化。

目前没有任何公司——包括 Anthropic 在内——开发出了足够强大的安全防护措施，以防止此类模型被滥用。

Anthropic 上周发布了关于“玻璃翼计划”的“初步更新报告”。在该报告倒数第二段中，透露了该公司的下一步计划：他们将“……与关键合作伙伴（包括美国及其盟友的政府）合作，将‘玻璃翼计划’扩展到更多的合作伙伴。并且在不久的将来，一旦我们开发出所需的、更强大的安全防护措施，我们期待通过公开发布的方式，让 Mythos 级别的模型得以面世。”

该公司没有解释“不久的将来”具体指多久，并坦承：“目前，没有任何公司——包括 Anthropic 在内——开发出了足够强大的安全防护措施，以防止此类模型被滥用并可能造成严重危害。”

该公司在博文的前半部分进一步举例说明了这一论断：Anthropic 已经使用 Mythos 扫描了超过 1,000 个开源项目，并表示这些项目“共同支撑着互联网的大部分内容——以及我们自身基础设施的大部分”。

迄今为止，Mythos 在这些项目中发现了估计 6,202 个高危或严重级别的漏洞——总计发现了 23,019 个缺陷。

博文透露，当 Mythos 发现一个缺陷时，Anthropic 及其安全社区的伙伴会复现 Mythos 发现的问题，并“重新评估其严重程度”。

Anthropic 解释道：“一旦我们确认某个漏洞是真实存在的，我们会检查是否已经有现成的修复方案，并向该软件的维护者撰写一份详细的报告。我们在这方面非常谨慎：除了维护开源软件面临的常规挑战外，维护者们还面临着海量低质量的、由 AI 生成的漏洞报告的冲击。事实上，几位维护者告诉我们，他们目前的处理能力已经严重受限，甚至有一些人要求我们放慢披露漏洞的速度，因为他们需要更多时间来设计补丁。”

在 Mythos 发现的自由及开放源代码软件（FOSS）的高危或严重级别漏洞中，有 1,752 个已经走完了上述流程，其中 90.6%（1,587 个）被证实是有效的缺陷。在这些有效缺陷中，62.4%（1,094 个）“被确认为高危或严重级别”，博文中如此写道。

其中一个严重级别的漏洞影响了全球数十亿台设备都在使用的 wolfSSL 加密库。

Anthropic 写道：“Mythos Preview 构建了一个漏洞利用程序，可以让攻击者伪造证书，从而（例如）允许他们托管一个银行或电子邮件提供商的虚假网站。尽管该网站实际上由攻击者控制，但在终端用户看来却完全合法。” 值得庆幸的是，开发人员已经修补了 wolfSSL 的漏洞，Anthropic 表示将在“未来几周内”提供完整的技术分析。

“在我们报告的 530 个高危或严重级别的漏洞中，目前已有 75 个得到了修补，其中 65 个已经发布了公开公告，”博文指出，并通过透露 Anthropic “仍处于我们‘协调漏洞披露政策’规定的 90 天窗口期的早期阶段”来解释这种较低的修复率：他们“预计很快会有更多的补丁落地”。该公司还认为，由于一些漏洞在没有发布公开公告的情况下就被修补了，因此他们“很可能低估了实际的补丁数量”。最后，Mythos 发现的海量漏洞“正在给本已不堪重负的安全生态系统增加压力”。