人工智能挖掘漏洞引发全球担忧,中国提出应对新策略

作者:本站 来源:本站

2026-04-22 15:33 1556阅读

人工智能挖掘漏洞引发全球担忧,中国提出应对新策略

本报记者 马 俊

据英国《金融时报》报道,美国人工智能公司Anthropic发布的最新大模型Mythos引发了全球各国政府和企业的担忧。该模型在漏洞挖掘方面的能力可能超过现有网络安全防御手段,从而加速黑客攻击。随着人工智能大模型的发展,AI能够以远超传统人力的效率发现网络漏洞,这将对全球网络攻防格局产生深远影响。中国作为全球网络攻击受害最严重的国家之一,必须思考如何应对这一新挑战。

大模型漏洞挖掘能力引发全球警惕

报道称,Anthropic公司本月初推出的Mythos大模型能够比传统人力更快地检测软件缺陷。该公司声称,该模型已跨越关键能力门槛,可以自动发现并验证主流操作系统和浏览器中的未知安全漏洞(即“零日漏洞”),并探讨了如何在闭源软件上进行漏洞利用逆向工程,以及如何将已知漏洞的转化。据称,Mythos已经发现了数千个高危漏洞,其中不少已经存在10年甚至20年未被发现。

业内专家对《环球时报》表示,传统的人力漏洞挖掘难度极大,需要具备特殊才能的专业黑客花费数年时间进行代码分析、研判和测试,成本高昂。

Anthropic公司原本希望通过AI编写代码并利用其编程速度生成大量代码,同时开发漏洞挖掘大模型来验证这些代码的可靠性,即“用AI检测AI”。然而,业界认识到,Mythos提供的这种能力是一把“双刃剑”。它既能高效发现未知漏洞,也可能被恶意利用,大幅降低网络攻击的技术门槛,增加系统入侵、数据泄露和关键基础设施瘫痪的风险。

《金融时报》援引网络安全平台Vanta首席执行官克里斯蒂娜·卡乔波的观点:“AI大模型驱动的网络攻击频率和复杂度正在增加,大多数公司尚未准备好应对这些风险,因为他们仍采用过时方法,无法与AI驱动的攻击速度抗衡。”报道指出,2025年AI驱动的网络攻击比2024年同期增长了89%。

Anthropic内部也意识到相关风险。该公司负责前沿“红队”测试的洛根·格雷厄姆表示:“有人可能利用Mythos以自动化方式大规模快速挖掘漏洞,而全球大多数组织,包括技术最先进的机构,都无法及时修补。”

各国政府也开始重视AI大模型带来的漏洞挖掘风险。美国财政部长斯科特·贝森特和美联储主席杰伊·鲍威尔近日召集了美国最大的几家银行,讨论Mythos带来的网络威胁。英国人工智能部负责人卡尼什卡·纳拉扬对《金融时报》表示“我们应该担心”该模型的能力。德国联邦银行行长约阿希姆·纳格尔建议,Mythos应向受影响的机构开放使用权限,以保障行业公平竞争环境。

中国需具备相应能力

据美国《纽约时报》报道,Anthropic目前对Mythos的访问权限进行严格限制。该公司主要与40多家为互联网、电网等全球关键基础设施提供技术的组织分享该模型,并公布了11家机构名单,包括亚马逊、苹果和微软,承诺帮助它们开发针对该模型发现的漏洞的修复方案。

韩国《每日经济》网站指出,Mythos的漏洞挖掘能力与其他AI进步不同,涉及国家级的“网络安全”问题,未来不具备相应能力的国家将陷入困境。Anthropic联合11家科技公司启动的Glasswing项目,目前只向少数美国大型科技和金融公司提供技术支持,韩国企业未在其中。

作为全球遭受网络攻击最严重的国家之一,中国如何应对这一新挑战?新加坡《联合早报》23日报道称,中国网络安全公司360集团近日透露,已开发一款AI驱动的“漏洞挖掘智能体”,发现近1000个此前未知的漏洞,其中50余个被认定为高危漏洞,覆盖Windows内核、Microsoft Office组件、OpenClaw以及多类物联网设备等关键基础设施软件。这意味着漏洞发现正式进入智能体自动化、规模化生产的新阶段。

360集团创始人周鸿祎在接受《环球时报》采访时表示,传统漏洞挖掘没有规律,基本靠“撞大运”。由于系统漏洞的“稀缺性”,传统网络对抗模式是“对方黑客发现漏洞,安全专家抵御黑客”。但AI大模型的加入,使得人和人的对抗变成了算法、算力、机器和人力的对抗,国家网络安全面临严峻挑战。

周鸿祎指出,如果攻击方拥有类似Mythos的能力,对被攻击方常见的代码库进行扫描,可能获得比原来多数百倍的漏洞,这意味着防御方将千疮百孔,到处是攻击点。关键基础设施遭受网络攻击的概率可能增加数百倍,攻击难度大幅降低。因此,中国也必须发展利用AI挖掘系统漏洞的能力。他承认“在大模型技术上,我们确实不如Anthropic,但可以通过其他方面弥补”。Anthropic是纯粹的AI企业,Mythos完全依赖大模型算法算力;而360集团是安全公司,对漏洞的理解、攻防利用代码等方面积累更多,“漏洞挖掘智能体”结合了大模型、编程代码理解以及丰富的漏洞和攻防经验。

苏黎世联邦理工学院安全研究中心高级研究员尤金尼奥·贝宁卡萨在报告中指出,人工智能正从辅助工具向可扩展的漏洞研究引擎方向发展。

网络安全对抗的未来发展方向

在AI大模型加入后,未来网络安全对抗将如何演变?周鸿祎表示,借助AI漏洞挖掘能力,一方面可以主动发现自身系统漏洞并及时修补,防止被对手利用;另一方面,当对手大规模发起网络攻击时,防守方可以通过算力批量生成自动化运营的智能体,以算力对抗算力,以智能体对抗智能体,从而维持网络安全攻防平衡。

周鸿祎强调,AI大模型给全球网络安全带来了根本性变革。过去,即使网络强国也很难找到足够强大的技术人才(“一将难求”),传统网络攻击的能力范围、频率和广度受到攻击方黑客体力与精力的制约。而现在,通过“蒸馏”黑客的作战经验,AI大模型可以将这些经验转化为智能体的专业技能。只要有算力支持,就可以复制成千上万的黑客智能体,在整个网络战线上利用各种漏洞发起攻击,容易形成不对称战争。

因此,应对方式也必须采取“用AI对抗AI、用算力对抗算力”的思路,通过“蒸馏”网络安全专家的技能,发展足够数量的“网络安全智能体”。周鸿祎比喻道:“如果有了可以批量复制的网络安全智能体,就像孙悟空拔一根毫毛变成很多小猴子,复制出很多专业智能体去处理每个报警。这样,专业网络安全专家可以从繁杂的重复性工作中解脱出来,由智能体完成筛查、分析和验证,人类专家只在关键节点做出判断。”

周鸿祎总结说,有人将漏洞挖掘智能体比作AI时代的“网络核武器”,我们必须掌握它,才能避免网络空间原有的平衡被随意打破。

上一篇

三星4月安卓更新修复了47个安全漏洞,但漏洞引发新Bug,Galaxy S25系列用户遭遇多款微软应用(Teams、Microsoft 365等)无法正常使用的兼容问题。临时解决方案为关闭私人DNS,但官方尚未给出根本修复。

下一篇

苹果于4月23日凌晨紧急推出iOS 26.4.2和18.7.8更新,主要修复Notification Services通知服务漏洞,该漏洞导致已删除通知仍保留在设备上。本次更新不包含新功能,也不改善续航或系统优化。建议老设备或低版本系统用户谨慎升级用户谨慎考虑,并认为续航等为玄学。

相关阅读

德国CISPA披露AMD处理器底层漏洞StackWarp,影响Zen 1至Zen 5全系架构,甚至波及EPYC服务器芯片。该漏洞利用堆栈引擎逻辑缺陷,可实现虚拟机逃逸、权限提升至Root,且无法通过固件修复。AMD已推送微代码补丁,但彻底修复需关闭超线程,可能导致多线程性能损失最高50%。普通用户受影响较小,云服务商面临严峻挑战。
文章指出AI时代攻防速度严重不匹配:修复漏洞平均需60天,而AI攻击转化仅10分钟。通过案例说明传统防线失效原因,提出企业需以AI对抗AI,从技术、流程、组织三方面升级防御体系,实现“即使有漏洞也无法被利用”的目标,构建动态平衡的安全新范式。
甲骨文公司宣布,利用人工智能技术提升漏洞追踪与修复效率,从而加快安全补丁发布节奏。该公司在常规季度更新基础上新增关键安全补丁关键安全补丁更新,首批将于5月28日推出。此举旨在为用户提供更及时的安全防护。
本文分析网络安全领域漏洞修复窗口从771天骤缩至不足4小时的现象,聚焦Anthropic最新AI模型Mythos的发布及其引发的行业反思。文章指出,Mythos虽然强大,但主要威胁中小机构而非大型银行,同时质疑传统“负责任披露”机制在AI时代的有效性,并探讨代理AI攻击自动化的危险。
AI大模型漏洞挖掘能力引发全球担忧,Anthropic的Mythos模型可自动发现零日漏洞,降低攻击门槛。中国作为网络攻击重灾区,360集团推出AI驱动的“漏洞挖掘智能体”,已发现近千个未知漏洞。360创始人周鸿祎提出需以“AI对抗AI”保持网络攻防平衡,强调中国必须掌握这一“网络核武器”。
本文深度评测米家智能家居服务商的系统安全与综合实力。以河南妙声工程实业有限公司为例,介绍其官方授权保障、全链条服务、设备兼容性、数据安全双架构等优势。同时提供选购指南和客户真实反馈,帮助用户了解如何选择可靠的智能家居服务商。
苹果确认并修复了iOS 26双SIM卡机型意外拨号漏洞,该问题由软件逻辑缺陷导致,仅在特定条件下触发。官方建议用户升级至iOS 26.3或更高版本以消除隐患,并提醒更新前做好数据备份。
三星4月安卓更新修复了47个安全漏洞,但漏洞引发新Bug,Galaxy S25系列用户遭遇多款微软应用(Teams、Microsoft 365等)无法正常使用的兼容问题。临时解决方案为关闭私人DNS,但官方尚未给出根本修复。
甲骨文利用AI技术(Anthropic Claude Mythos Preview、OpenAI Trusted Access for Cyber等)大幅提升漏洞发现与修复效率,宣布在传统季度安全更新之外,增加多新增CSPU(关键安全补丁更新)机制,首批将于5月28日上线,后续6月、8月、9月还将有9月更新,旨在为高风险漏洞提供更快速的修复方案。