AI網路攻擊威脅：危機不在未來，就在當下

全球銀行和政府機構上個月因一個AI模型而陷入恐慌——但真正的問題，或許從來就不是這個模型本身。

Anthropic發布的最新AI模型「Mythos」據稱能在全球軟體基礎設施中自動發現數千個未知漏洞，引發企業高管和政策制定者的高度警覺。然而，網路安全專家向CNBC直言：Mythos所展示的核心能力，用現有的AI模型早就能做到。

「我們在整個業界看到的是，人們正在透過巧妙地協調公開模型，重現Mythos找到的漏洞，並得到非常相近的結果，」網路安全公司watchTowr Labs執行長班·哈里斯說。

「零日漏洞」批量生產，已是現在進行式

所謂「零日漏洞」，指的是尚未被修補的未知軟體缺陷——攻擊者可在防禦方反應之前加以利用。這類漏洞過去需要頂尖安全研究員耗費大量時間才能發現，如今AI正在改變這個方程式。

網路安全公司Vidoc執行長克勞迪亞·克洛克表示，「目前的模型已經強大到足以大規模偵測零日漏洞，這本身就已經夠可怕了。」她補充說，這種能力「已存在幾個月，甚至將近一年」。

Vidoc的研究團隊採用「編排」（orchestration）技術進行驗證——將程式碼拆分為較小的片段，協調多個工具和模型交叉比對結果。「我們用舊版模型對相同的程式碼庫進行測試，看是否能偵測到相同的漏洞，」克洛克說，「結果是可以，無論是OpenAI還是Anthropic的舊模型都做到了。」

另一家網路安全公司AISLE的研究則發現，Mythos的許多關鍵成果可以用多個較便宜的模型並行運作來重現。創辦人斯坦尼斯拉夫·福特在部落格中寫道：「一千個普通偵探四處搜索，會比一個必須猜測搜索位置的天才偵探找到更多漏洞。」

Anthropic對此並未否認。公司發言人指出，廣泛可用的模型「Claude Opus 4.6」已在開源軟體中發現逾500個「高嚴重性」漏洞，並強調公司幾個月前就已警告AI網路能力正在快速演進。

廣告

廣告合作

[email protected]

廣告

攻防失衡：防禦永遠慢一步

Mythos與其他模型的真正差異，在於它能在幾乎不需要人工介入的情況下，自動生成可運行的攻擊程式碼（exploit）。然而，JPMorgan執行長傑米·戴蒙的判斷更為直接：AI工具或許終將幫助企業防禦網路攻擊，但目前它們首先讓企業變得更脆弱。

問題的結構性困境在於：AI發現漏洞的速度大幅提升，但修補漏洞仍需數天乃至數週，部分修補甚至需要將關鍵系統下線。法律事務所Mayer Brown合夥人、紐約州前金融監管機構網路安全主管賈斯汀·赫林將此稱為「網路安全領域偉大的薛西弗斯任務」——永無止境地推石上山。

此外，Mythos的初期發布僅限於Apple、Amazon、JPMorgan Chase、Palo Alto Networks等少數美國企業，獨立AI研究人員和更廣泛的網路安全社群被排除在外，無法參與防禦工具的建構。這種「有無之分」的分層結構，被批評者認為可能阻礙網路安全創新的整體步伐。

與此同時，OpenAI執行長山姆·奧特曼宣布推出專為網路安全打造的「GPT-5.5-Cyber」，並於本週四向經過審核的網路安全團隊開放有限存取。AI軍備競賽的另一條戰線，正在悄然展開。

對華人世界的深層意義

這場AI網路安全競賽，對於台灣、香港及東南亞的企業與政府機構而言，有著不可忽視的地緣政治維度。

文章中提到，北韓、中國和俄羅斯的駭客「不需要Anthropic就已具備這種能力」。這句話揭示了一個現實：AI網路攻擊能力的擴散，並非從西方流向東方的單向過程，而是多極並進的態勢。台灣長期面臨來自國家級駭客的網路威脅，而AI工具的普及化意味著攻擊的規模和頻率都可能進一步提升。

對於在全球供應鏈中扮演關鍵角色的台灣科技業——從半導體製造到電子代工——軟體基礎設施的安全性直接關係到整條供應鏈的韌性。當AI將發現漏洞的門檻大幅降低，過去依賴「默默無名」作為防護的中小型供應商，將面臨前所未有的暴露風險。

值得關注的是，Mythos的受控發布名單中清一色是美國企業。這種「科技民族主義」式的安全架構，在客觀上製造了資訊不對稱——美國盟友與非盟友之間，在防禦準備度上的差距可能正在擴大。