Anthropic 武器級資安模型 Mythos 遭未授權存取:他們是如何做到的?
彭博社報導,一個私人論壇群組疑似在 Anthropic 旗下資安模型 Mythos 公開宣布當天即突破管制,透過第三方承包商的存取權限,成功進入系統使用該模型,引發外界對頂尖 AI 模型安全治理的擔憂。
(Anthropic 推出全球資安計畫 Glasswing,新模型 Mythos 為何不開放大眾使用?)
Mythos 上線首日就遭未授權存取
Anthropic 在 4 月 7 日宣布全新網路安全 AI 模型 Claude Mythos,然而一個身份至今未公開的私人線上論壇群組,據報已悄然取得該模型的存取權限。
廣告 - 內文未完請往下捲動
據悉,這群人並非透過傳統駭客手法入侵,而是利用對 Anthropic 過去模型 URL 格式的掌握,合理推測出 Mythos 在系統中的線上位置。關鍵破口在於一名任職於 Anthropic 第三方承包商的員工。他原本就持有查看 Anthropic AI 模型的合法授權,群組成員則透過這個合規入口滲透進入系統。
事後,該群組向彭博提供了截圖與即時操作示範作為證明,並透露他們持續使用 Mythos 至今,但強調他們的目的僅止於「把玩新模型」,無意從事任何破壞行為,因為他們不想被發現。
Mythos 是什麼?為何引發外界擔憂?
Claude Mythos 是 Anthropic 專為企業網路安全防禦所打造的 AI 模型,被團隊定義為「能力太強以致於不適合公開發布」的工具。其核心能力在於主動識別數位系統中的安全漏洞,協助企業在遭受攻擊前即完成修補。
然而,這把「防禦之劍」也可以是「雙面刃」。Anthropic 坦言,一旦 Mythos 落入惡意人士之手,其能力也足以被用於發動攻擊。因此公司透過名為「Project Glasswing」的資安計畫,僅將 Mythos 開放給少數經過嚴格審核的大型機構或科技公司使用。
這套封閉管控機制的核心假設是:受信任的合作夥伴能夠確保彼此的存取權限不會外洩。
(Anthropic Mythos 引監管擔憂,貝森特、鮑威爾召銀行高層開緊急會議)
Anthropic 回應:正在調查,未受影響
Anthropic 對此表示:「我們正在調查一份聲稱透過第三方供應商環境,未經授權存取 Claude Mythos Preview 的報告。」公司強調,目前尚未發現自身系統受到影響,且此事件初步判斷「較有可能是存取權限遭到濫用,而非外部駭客攻擊」。
即便目前搶先使用 Mythos 的用戶並沒有做出惡意行為,然而事件本身仍讓資安專家高度警戒。資安公司 Smarttech247 執行長 Raluca Saceanu 指出:
強大 AI 工具一旦在既定管控機制之外被存取或使用,風險不僅僅是一件資安事件,更可能引發詐欺、網路濫用或其他惡意用途的疑慮。
這件事會造成什麼影響?AI 安全管制的弱點
這次事件真正讓人擔憂的地方,並非是有人試圖破壞,而是在於它所揭示的系統性脆弱:當 AI 公司將高敏感性模型的存取權下放至第三方供應商時,整條管制網路中任何一個環節的疏漏,都可能成為破口並引發危機。
如今,Mythos 事件提醒了整個產業,在 AI 能力快速進步的當下,安全架構的設計不能僅靠信任,更需要能夠承受信任失效的制度韌性。對於 Anthropic 而言,如何重建外界對其合作夥伴管控機制的信心,將是比調查本身更長遠的課題。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
