摘要:Anthropic旗下AI安全工具Mythos被曝通过第三方承包商环境遭未授权访问,事件引发对高级AI系统发布策略与供应链安全的深度反思。尽管核心系统未受影响,但暴露了可控发布模式下的潜在风险。
币圈界报道:
Anthropic Myths工具泄露事件:受控发布仍难挡第三方渗透风险
彭博社调查揭示,Anthropic开发的专属网络安全模型Mythos在预览阶段已被外部团体通过合作承包商的权限通道非法获取。这一事件凸显了企业在部署先进人工智能系统时,即便采用严格分阶段发布机制,依然面临来自外部生态链的安全威胁。
内部审查正在进行,核心系统暂未受损
Anthropic已确认正在核查有关其Claude Mythos预览版本遭非授权访问的报告,并指出该访问行为可能源自一个与公司有合作关系的第三方服务商的环境。目前,公司尚未发现任何迹象表明此次活动影响到其主干系统或生产环境,漏洞影响范围似乎局限于开放给特定合作伙伴的测试平台。
攻击路径溯源:基于模型格式推测实现突破
据消息来源透露,入侵者利用了对Anthropic其他模型架构特征的分析能力,推断出Mythos的部署位置并成功接入。这种基于模式识别的主动探测方式,暴露出当前部分预发布模型在公开信息管理上的薄弱环节,尤其在高价值模型对外展示初期阶段。
供应链安全短板暴露:员工权限成突破口
事件的关键节点在于一家与Anthropic协作的技术承包商的一名在职人员所持有的访问凭证被滥用。这再次印证了外部合作方作为企业数字防线中最易被攻破的环节之一。随着组织对专业服务外包依赖加深,对第三方系统的安全审计必须从表面合规转向深度技术验证。
时间线梳理:从宣布到曝光仅隔一日
2025年4月,Anthropic正式公布Mythos项目;同日,据报已有未授权实体完成登录;4月30日,彭博社发布详细调查;目前,相关安全评估仍在持续进行中。
工具本意与现实风险的矛盾凸显
Mythos的设计初衷是强化企业级网络防护能力,然而一旦落入非授权使用者之手,其功能可能被反向用于发起攻击。该事件引发了关于如何平衡技术创新与风险控制的根本性讨论,尤其是在具备双重用途潜力的先进模型领域。
动机模糊:探索型黑客亦存潜在威胁
据披露,涉事团体为活跃于Discord社区的模型探索者,其成员表示主要出于技术好奇而非恶意破坏。尽管他们提供了使用证据,包括实时操作截图,但专家警告,兴趣驱动的行为并不等同于无害——访问路径的建立本身即构成未来攻击的跳板,且意图可能随情境变化而演进。
Project Glasswing机制下仍存风险敞口
Mythos通过名为“Project Glasswing”的有限权限计划面向苹果等科技巨头提供早期试用。该策略本意是防止滥用,但此次事件表明,即使对可信伙伴实施限制性访问,若其外部连接点存在疏漏,仍可能导致系统性风险扩散。
行业应对:构建专属性AI安全响应体系
安全界呼吁建立针对人工智能特性的专项响应机制。传统数据泄露预案不足以覆盖模型提取、提示注入及训练数据污染等新型攻击形式。企业应强化对供应商的动态评估,部署能够识别异常交互行为的智能监控系统,并制定涵盖模型泄露场景的桌面推演流程。
长期趋势:AI安全正迈向专业化治理
此事件推动行业加速向系统化治理演进。越来越多组织设立专职AI安全岗位,整合网络安全与机器学习防御知识;全球监管框架也在逐步成型,将此类案例纳入立法考量;同时,学术界对AI攻击面的研究日益深入,形成可复用的防御范式。
结语:全面防御需覆盖内外部所有接触点
尽管本次事件未波及核心系统,但其揭示的问题具有典型意义——在高度互联的AI生态系统中,单一环节的松懈足以引发全局性风险。Anthropic Mythos事件提醒所有部署前沿人工智能的企业:真正的安全保障必须贯穿从内部研发到外部协作的每一个触点,唯有构建全链条、多层次的防护体系,才能有效抵御不断进化的威胁形态。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。