Anthropic研究表明AI可在数小时内从安全补丁构建可用的漏洞利用代码,而非数周
摘要
Anthropic的研究表明,大型语言模型能够迅速从安全补丁中生成可用的漏洞利用代码,将时间从数周缩短至数小时,引发了关于AI驱动漏洞利用的担忧。
https://preview.redd.it/bj4cb914nm6h1.png?width=1376&format=png&auto=webp&s=503dba9ffad477c7e72f000305d9c59e2edb846a Anthropic的安全团队系统性地测量了大型语言模型利用Firefox和Windows已知漏洞的速度。研究表明,一名操作员现在可以在一个下午内将一个月积累的补丁转化为可用的漏洞利用代码,花费仅几千美元,且无需专业知识。研究人员测试了6个Claude模型,针对Firefox中的18个SpiderMonkey补丁。Mythos Preview成功破解了14个漏洞,在大约12小时内生成了8个可用的漏洞利用代码。第一个漏洞利用代码在1小时内准备就绪,比打补丁后的Firefox 148正式发布早了18天。在第二次测试中,模型针对21个Windows内核漏洞。Mythos Preview在不到6小时内发现了18个缺陷,API成本为2200美元,并构建了8个完整的权限提升链,成本为15700美元。相比之下,Windows Autopatch需要7天才能将安全更新部署到90%的设备。来源:[https://the-decoder.com/anthropic-study-shows-ai-needs-hours-not-weeks-to-build-exploits-from-security-patches/](https://the-decoder.com/anthropic-study-shows-ai-needs-hours-not-weeks-to-build-exploits-from-security-patches/)
相似文章
Anthropic 新模型一个月内发现超一万个安全漏洞
Anthropic 的新 AI 模型 Claude Mythos 在一个月内识别出全球系统软件中超过一万个高危和严重安全漏洞,其误报率优于人类测试人员,显著推动了 AI 驱动的网络安全。
衡量大型语言模型对N-day漏洞利用的影响(18分钟阅读)
本文来自Anthropic,评估了像Claude Mythos Preview这样的大型语言模型如何加速N-day漏洞利用的开发。在针对Firefox和Windows内核补丁的测试中,该模型自主构建了有效的漏洞利用链,突显了补丁空窗期风险的增加。
AI正在打破两种漏洞文化
AI正在颠覆传统的漏洞披露文化(协调披露 vs 漏洞就是漏洞),通过加速安全缺陷的检测和利用,使长期禁运效果降低,并迫使需要更快、AI辅助的响应。
语言模型能够自主攻击和自我复制
本文展示语言模型能够自主攻击漏洞网站并自我复制,无需人类干预,凸显新出现的安全风险。
Cloudflare警告:在AI巨头G20简报之前,Mythos AI能构建真实网络攻击
Cloudflare对Anthropic的Mythos Preview的测试显示,该模型能够将多个低严重性漏洞串联成可用的利用代码,这是进攻性网络安全AI的一大步,同时Anthropic正准备向G20官员简报相关风险。