Claude Mythos、ChatGPT-5.5 与网络安全

# Claude Mythos、ChatGPT-5.5 与网络安全 来源：https://www.mpg.de/26548739/cybersecurity-threats-new-language-models-claude-mythos?c=2249 新语言模型背后究竟存在哪些风险？企业、政府机构和普通民众又该如何保护自己？ 新的人工智能模型 Mythos（Anthropic 公司）和 ChatGPT-5.5（OpenAI 公司）引起了不小的轰动。作为所谓的“前沿模型”，它们目前被认为是最强大的模型之一。然而，人们对其在网络安全方面的影响存在担忧。Anthropic 甚至对其自身产品发出警告，称它不仅能够自主识别安全漏洞，还能利用这些漏洞。马克斯·普朗克安全与隐私研究所及其他研究机构的研究人员希望对此进行更深入的研究，并委托 Anthropic 和 OpenAI 进行测试。因为至少 Claude Mythos 目前还未对公众开放。 因此，该研究所的科学主任 Thorsten Holz 了解许多紧迫问题的答案。作为关于欧洲人工智能与安全重大挑战公开信的签署人之一，他呼吁欧盟汇集更多关于此类攻击性 AI 系统的知识。 但 Claude Mythos 到底是什么？为什么一个语言模型会成为 IT 安全的隐患？它又是如何运作的？它是否像一把通用的瑞士军刀，可以用来入侵银行？普通个人是否与大企业一样面临风险？我们将在此澄清这些问题及相关话题。 ## Anthropic 对其自身产品（Claude Mythos）的警告是公关噱头，还是危险真实存在？ “很可能两者兼有，”Thorsten Holz 说。Anthropic 计划在 2026 年上市。“企业传播总是带有战略的一面。”当 Anthropic 声称其自身模型极其强大且危险时，它也在公众面前进行自我定位。这并非新鲜事；OpenAI 在 2019 年发布 ChatGPT-2 模型之前也曾发出过警告。 “然而，由此断定这一切都只是公关，那就错了，”Holz 补充道。像 Mythos 或 ChatGPT-5.5 这样的前沿模型在自主处理复杂技术工作方面越来越好。在 IT 安全领域，这意味着它们不仅能在复杂程序中发现漏洞，还能分析漏洞并构建特定的攻击代码，即找到利用这些漏洞的方法。 ## Claude Mythos 究竟是什么，它为何如此危险？ Anthropic 公司的 Claude Mythos 是一个特别强大的 AI 语言模型，在网络安全方面具有强大的自主代理能力。如今，包括聊天机器人背后的那些语言模型在内，越来越多地被部署在代理系统中。这是什么意思？（https://www.mpg.de/26406418/artificial-intelligence-ai-agent-gummadi）语言模型本身背后是经过海量互联网信息训练的神经网络。它们的回答是基于概率生成的词语序列。因此，一个 AI 模型本身是非常被动的。“正是 AI 模型嵌入平台的方式使其变得活跃并赋予其行动能力，”马克斯·普朗克软件系统研究所的 Krishna Gummadi 说。（https://www.mpg.de/26406418/artificial-intelligence-ai-agent-gummadi） 当作为代理使用时，该模型可以访问各种工具并整合外部信息，例如来自计算器的信息。OpenClaw（https://www.mpg.de/26406418/artificial-intelligence-ai-agent-gummadi）明确利用这种行为来优化用户的 IT 工作空间，能够独立访问外部程序并发送电子邮件。任何给予该工具过多自由度的人都可能会遭遇不愉快的意外。 但即使是常见的 ChatGPT 模型也具有代理能力：它们可以分析代码，测试漏洞，解读错误并提供解决方案。这使得具有代理能力的 AI 模型可能比纯粹的聊天机器人更危险。因此，它们也显得“更聪明”，但实际上并不理解任何底层上下文。这些 AI 模型仍然是工具，而不是自主行动者。 ## 是什么让 Claude Mythos 和 ChatGPT-5.5 在 IT 安全领域具有相关性？ 这种代理行为在网络领域尤其核心：AI 语言模型形成一个假设，使用各种程序为 IT 系统中的漏洞开发攻击代码，测试攻击，分析，修正，并再次测试。“这就是代理系统的核心：计划、行动、观察、修正，”Thorsten Holz 说。“如果一个模型能够良好且快速地执行这些步骤，它就会成为一个强大的技术助手，无论是用于防御还是攻击目的。” ## 这有什么新意？基于代理的 AI 系统之前曾带来过哪些危险？ “早期的模型已经能够编写自动化的钓鱼邮件或在代码中发现漏洞。新的是自主性的程度，”Thorsten Holz 说。他指出，一次攻击很少能在第一次尝试时就成功；必须测试、调试、理解为什么某些东西不起作用，然后进行调整。这些步骤的反馈循环使得 Claude Mythos 和 GPT-5.5 在网络领域更加强大——也更加危险。 这要求 AI 模型不仅被授予建议如何利用漏洞的权限，而且被授予尝试利用该漏洞的权限。初步结果可能在几分钟或几小时内就能获得；未来的模型会更快。“这意味着我们现在就需要做好准备，”Holz 说。 ## Claude Mythos 和 ChatGPT-5.5 在发现和利用 IT 漏洞方面有多出色？ 一个包括马克斯·普朗克安全与隐私研究所的研究团队，与 Anthropic 和 OpenAI 合作，测试了这两家公司的新模型。 结果是一个基准测试：ExploitGym（https://rdi.berkeley.edu/blog/exploitgym/）可用于衡量进攻性 AI 能力。 在受控条件下，团队测试了哪些模型实际上能够利用哪些类型的漏洞。研究人员想知道：哪些安全措施有效？哪些措施失效？能力如何从一代模型到下一代变化？这有助于模型提供商做出安全决策，防御者确定优先次序，政策制定者决定哪些能力可能需要监管。“我们的结果表明，AI 模型不能随意破解任何系统。那种说法是夸大且不现实的，”Holz 说。但在测试中，Mythos Preview 模型成功利用了 898 个真实世界漏洞中的 157 个，而 GPT-5.5 利用了 120 个。相比之下，次优模型 Claude 4.6 Opus 只利用了 15 个，相差一个数量级。总体而言，Claude Mythos 似乎比 GPT-5.5 能力稍强，但真正重要的是趋势，而在这两种情况下，趋势都是朝着越来越高效的代理能力发展。在这种背景下，使用哪个模型不那么重要，更重要的是模型被授予访问哪些工具的权限。 这些结果对于一般 IT 安全很重要。显然，所测试的现代代理系统如今已经足够好，能够显著缩短发现漏洞与实际利用之间的时间。“过去，这需要专家；现在 AI 代理正在接管部分工作，”Holz 说。 ## 普通用户很快就能一键入侵银行吗？ “不，个人无法用 Claude Mythos 入侵银行。没那么简单，”Thorsten Holz 说。对于现实世界的攻击，攻击者首先必须选择目标。除其他外，还需要对目标系统的初始访问权，以及基础设施和网络知识。此外，还必须绕过检测机制以避免被抓。 危险更多来自有组织的行动者，而不是好奇的个人，也就是那些将此类模型集成到自动化攻击系统中，从而使其更高效、更强大的专业人士。单一语言模型只是一个组件。当它与被盗的凭证和钓鱼活动结合时——也就是说，当它获得对系统和自动化决策过程的访问权时——它就会变得危险。这就创造了一个代理攻击系统，可以搜索目标、确定漏洞优先级、开发和测试攻击代码、评估结果并调整策略。 而且，研究目标系统的背景信息、编写代码、调整已知攻击代码、构建攻击链的速度更快。“这并不意味着明天每个市政公用设施都能被关闭。但普通网络罪犯与国家支持的行动者之间的差距正在缩小，”Thorsten Holz 说。 ## 什么是现实场景，我们能从中学习什么？ 在 Claude Mythos 大规模推出之前，它可以与公司合作，用于提醒它们注意 IT 漏洞。如果该模型对所有人开放，它就可能变得危险。这是因为当软件公司为其产品发布安全漏洞的补丁时，该补丁是可以公开查看的。像 Mythos 这样的 AI 模型可以尝试对补丁进行逆向工程，以识别它旨在修复的漏洞。如果用户等待太久才安装更新，那么使用 Mythos 作为工具的攻击链可能就有足够的时间逐步深入，最终达到该漏洞。 系统并非仅仅因为 AI 而变得脆弱。联邦信息安全办公室多年来一直在指出漏洞。新的 AI 模型只是增加了成功攻击的风险，使其更容易、更便宜、更快。 ## 谁现在应该保护自己，如何保护？ “每个人都应该保护自己，但程度不同，”Thorsten Holz 说。对于**普通用户**来说，Mythos 带来的风险相对较低，且主要是间接的：未来，可能会有更好的钓鱼邮件、更具说服力的欺诈对话、以及针对不安全的设备（如智能家居系统）的自动化攻击。 最重要的措施很简单： - 开启自动更新 - 使用密码管理器 - 每个账户使用唯一密码 - 启用多因素认证 - 进行备份 - 不要让旧设备无保护地暴露在互联网上（例如，硬件不安全的旧调制解调器很容易被黑，经常被用来向特定网站转发大量请求，导致其崩溃。） 对于**企业和政府机构**来说，情况更为严重，Thorsten Holz 说。“对于保护良好的关键基础设施，Mythos 及类似模型并非即时的末日场景。”但对于维护不善的市政 IT 系统、公共事业、工业设施或安全级别低的服务提供商，风险显著增加。因此，寻找自身系统中的漏洞是值得的。 这是因为许多针对公司关键基础设施的攻击并非始于对工业控制系统的专门攻击，而是始于非常常见的 IT 弱点，例如： - 暴露在互联网上的系统 - 成功的钓鱼攻击 - VPN 漏洞 - 未打补丁的防火墙 - 薄弱的补丁管理 - 被泄露的登录凭证 - 网络分段不佳 - 复杂、文档不完善的 IT 环境 - 安全级别低且有漏洞的 IT 系统 “最重要的措施并不特殊，但必须持续执行，”Thorsten Holz 说。这些措施包括： - 快速修补安全漏洞并迅速安装更新 - 实施强身份验证和网络分段，使受感染的办公室工作站不会直接通向关键服务 - 日志记录和系统监控，即记录系统中的错误和异常，以及其他足够快的检测方法，以跟上 AI 驱动的攻击步伐 - 使用 AI 赋能工具，在自己的系统上进行网络攻击模拟，即所谓的红队演练 - 保护系统访问 ## Linux 系统比 Windows 更安全吗？ 无论是 Linux 还是 Windows，安全补丁和更新都不应长期延迟。借助新的 AI 工具，专业攻击者识别和利用漏洞的时间正在缩短。 然而，Windows 通常是大规模攻击更具吸引力的目标，因为它运行在许多个人和企业使用的计算机上，攻击通常针对典型的 Windows 企业环境。另一方面，Linux 是服务器、云系统和关键基础设施组件的关键系统。因此，Linux 或开源组件中的漏洞可能导致重大问题。 ## Claude Mythos 在媒体上也被比作核技术。您同意吗？这意味什么？ “我认为将新的 AI 比作核威胁是有问题的，”Thorsten Holz 说。这种类比最多只在指向双重用途、战略力量和风险方面有所帮助。然而，也存在明显的差异：Holz 指出，裂变材料在物理上是稀缺的，更容易控制和检测。相比之下，AI 模型结构和攻击链很容易复制。 此外，虽然核武器总是有灾难性后果，但 AI 驱动的网络攻击造成的危害范围很广，从简单的骚扰到严重的攻击。“而且存在有效的防御措施，能够跟上 AI 模型的复杂性，”Holz 说。“所以，我不会将 AI 描述为网络安全行动的超级武器，而是作为一种加速技术，一种现有能力的放大器。” ## 像《人工智能法案》这样的法规有助于减缓这种发展吗？ 如果有帮助，其程度也有限。“问题是，安全漏洞的检测和利用在技术上非常接近，”Thorsten Holz 说。AI 提供商如 Anthropic 或 OpenAI 可能被要求报告滥用案例。然而，设计出无法用于双重用途应用的代理 AI 系统及其操作几乎是不现实的。 据 Thorsten Holz 称，基础研究——即在受控测试中探索可能性的研究——现在尤为重要。需要更多关于此类进攻性 AI 的知识，但仅有知识是不够的： “关键基础设施不应等待法规，而应立即采取行动，”Thorsten Holz 说。“最重要的问题不是 AI 最终是否会变得危险。问题在于，当攻击变得更快、更便宜、更具规模时，自己的基础设施是否足够坚固。” 像《人工智能法案》这样的法规可以实现透明度、报告要求和安全标准。然而，《人工智能法案》无法消除当前前沿模型的能力。 “法规是缓慢的，而技术发展非常迅速，”Holz 说。“这就是为什么所有公司和关键基础设施运营商现在必须采取预防措施。等待法律来解决问题将是玩忽职守。”然而，仅靠预防是不够的，因为它无法弥补 AI 带来的更快攻击能力与较慢防御机制之间的不对称性。 *这些回答基于与马克斯·普朗克安全与隐私研究所科学主任 Thorsten Holz 的对话。* *提问者：Tobias Beuchert。*