人工智能挖掘漏洞引发全球担忧,中国提出应对新策略
作者:本站 来源:本站
2026-04-22 15:33 1556阅读

本报记者 马 俊

据英国《金融时报》报道,美国人工智能公司Anthropic发布的最新大模型Mythos引发了全球各国政府和企业的担忧。该模型在漏洞挖掘方面的能力可能超过现有网络安全防御手段,从而加速黑客攻击。随着人工智能大模型的发展,AI能够以远超传统人力的效率发现网络漏洞,这将对全球网络攻防格局产生深远影响。中国作为全球网络攻击受害最严重的国家之一,必须思考如何应对这一新挑战。
大模型漏洞挖掘能力引发全球警惕
报道称,Anthropic公司本月初推出的Mythos大模型能够比传统人力更快地检测软件缺陷。该公司声称,该模型已跨越关键能力门槛,可以自动发现并验证主流操作系统和浏览器中的未知安全漏洞(即“零日漏洞”),并探讨了如何在闭源软件上进行漏洞利用逆向工程,以及如何将已知漏洞的转化。据称,Mythos已经发现了数千个高危漏洞,其中不少已经存在10年甚至20年未被发现。
业内专家对《环球时报》表示,传统的人力漏洞挖掘难度极大,需要具备特殊才能的专业黑客花费数年时间进行代码分析、研判和测试,成本高昂。
Anthropic公司原本希望通过AI编写代码并利用其编程速度生成大量代码,同时开发漏洞挖掘大模型来验证这些代码的可靠性,即“用AI检测AI”。然而,业界认识到,Mythos提供的这种能力是一把“双刃剑”。它既能高效发现未知漏洞,也可能被恶意利用,大幅降低网络攻击的技术门槛,增加系统入侵、数据泄露和关键基础设施瘫痪的风险。
《金融时报》援引网络安全平台Vanta首席执行官克里斯蒂娜·卡乔波的观点:“AI大模型驱动的网络攻击频率和复杂度正在增加,大多数公司尚未准备好应对这些风险,因为他们仍采用过时方法,无法与AI驱动的攻击速度抗衡。”报道指出,2025年AI驱动的网络攻击比2024年同期增长了89%。
Anthropic内部也意识到相关风险。该公司负责前沿“红队”测试的洛根·格雷厄姆表示:“有人可能利用Mythos以自动化方式大规模快速挖掘漏洞,而全球大多数组织,包括技术最先进的机构,都无法及时修补。”
各国政府也开始重视AI大模型带来的漏洞挖掘风险。美国财政部长斯科特·贝森特和美联储主席杰伊·鲍威尔近日召集了美国最大的几家银行,讨论Mythos带来的网络威胁。英国人工智能部负责人卡尼什卡·纳拉扬对《金融时报》表示“我们应该担心”该模型的能力。德国联邦银行行长约阿希姆·纳格尔建议,Mythos应向受影响的机构开放使用权限,以保障行业公平竞争环境。
中国需具备相应能力
据美国《纽约时报》报道,Anthropic目前对Mythos的访问权限进行严格限制。该公司主要与40多家为互联网、电网等全球关键基础设施提供技术的组织分享该模型,并公布了11家机构名单,包括亚马逊、苹果和微软,承诺帮助它们开发针对该模型发现的漏洞的修复方案。
韩国《每日经济》网站指出,Mythos的漏洞挖掘能力与其他AI进步不同,涉及国家级的“网络安全”问题,未来不具备相应能力的国家将陷入困境。Anthropic联合11家科技公司启动的Glasswing项目,目前只向少数美国大型科技和金融公司提供技术支持,韩国企业未在其中。
作为全球遭受网络攻击最严重的国家之一,中国如何应对这一新挑战?新加坡《联合早报》23日报道称,中国网络安全公司360集团近日透露,已开发一款AI驱动的“漏洞挖掘智能体”,发现近1000个此前未知的漏洞,其中50余个被认定为高危漏洞,覆盖Windows内核、Microsoft Office组件、OpenClaw以及多类物联网设备等关键基础设施软件。这意味着漏洞发现正式进入智能体自动化、规模化生产的新阶段。
360集团创始人周鸿祎在接受《环球时报》采访时表示,传统漏洞挖掘没有规律,基本靠“撞大运”。由于系统漏洞的“稀缺性”,传统网络对抗模式是“对方黑客发现漏洞,安全专家抵御黑客”。但AI大模型的加入,使得人和人的对抗变成了算法、算力、机器和人力的对抗,国家网络安全面临严峻挑战。
周鸿祎指出,如果攻击方拥有类似Mythos的能力,对被攻击方常见的代码库进行扫描,可能获得比原来多数百倍的漏洞,这意味着防御方将千疮百孔,到处是攻击点。关键基础设施遭受网络攻击的概率可能增加数百倍,攻击难度大幅降低。因此,中国也必须发展利用AI挖掘系统漏洞的能力。他承认“在大模型技术上,我们确实不如Anthropic,但可以通过其他方面弥补”。Anthropic是纯粹的AI企业,Mythos完全依赖大模型算法算力;而360集团是安全公司,对漏洞的理解、攻防利用代码等方面积累更多,“漏洞挖掘智能体”结合了大模型、编程代码理解以及丰富的漏洞和攻防经验。
苏黎世联邦理工学院安全研究中心高级研究员尤金尼奥·贝宁卡萨在报告中指出,人工智能正从辅助工具向可扩展的漏洞研究引擎方向发展。
网络安全对抗的未来发展方向
在AI大模型加入后,未来网络安全对抗将如何演变?周鸿祎表示,借助AI漏洞挖掘能力,一方面可以主动发现自身系统漏洞并及时修补,防止被对手利用;另一方面,当对手大规模发起网络攻击时,防守方可以通过算力批量生成自动化运营的智能体,以算力对抗算力,以智能体对抗智能体,从而维持网络安全攻防平衡。
周鸿祎强调,AI大模型给全球网络安全带来了根本性变革。过去,即使网络强国也很难找到足够强大的技术人才(“一将难求”),传统网络攻击的能力范围、频率和广度受到攻击方黑客体力与精力的制约。而现在,通过“蒸馏”黑客的作战经验,AI大模型可以将这些经验转化为智能体的专业技能。只要有算力支持,就可以复制成千上万的黑客智能体,在整个网络战线上利用各种漏洞发起攻击,容易形成不对称战争。
因此,应对方式也必须采取“用AI对抗AI、用算力对抗算力”的思路,通过“蒸馏”网络安全专家的技能,发展足够数量的“网络安全智能体”。周鸿祎比喻道:“如果有了可以批量复制的网络安全智能体,就像孙悟空拔一根毫毛变成很多小猴子,复制出很多专业智能体去处理每个报警。这样,专业网络安全专家可以从繁杂的重复性工作中解脱出来,由智能体完成筛查、分析和验证,人类专家只在关键节点做出判断。”
周鸿祎总结说,有人将漏洞挖掘智能体比作AI时代的“网络核武器”,我们必须掌握它,才能避免网络空间原有的平衡被随意打破。
上一篇
下一篇
相关阅读