Chinese Ai real security risk? Plus: Vibe hunting, the end of CVSS and updates on Lightwell

Reddit r/ArtificialInteligence 新闻

摘要

This article covers a security podcast discussion on the risks of open-weight AI models like GLM 5.2, which attackers can modify and exploit, and introduces CISA's new BOD 26-04 directive that replaces the CVSS scoring system with a four-variable dynamic prioritization model for federal agencies.

暂无内容
查看原文
查看缓存全文

缓存时间: 2026/07/15 13:57

## TL;DR 开放权重模型GLM 5.2已在某些领域达到神话级能力,攻击者早已获取这些未锁定模型,安全格局面临失衡;同时,CISA推出BOD 26-04,用四变量模型取代CVSS评分,要求联邦机构按暴露度、利用情况、自动化程度和影响范围动态决定补丁时间。 ## 开放权重模型GLM 5.2与安全威胁 ### 事件背景:一篇引发讨论的Substack文章 在最新一期《安全情报》播客中,主持人Max Sinsky与三位专家——Claire Nunez(IBM X-Force网络靶场创意总监)、Dustin Evil Mog Haywood(X-Force执行管理黑客与高级技术人员)和Ian Malloy(安全研究部门主管)——首先聚焦了GLM 5.2。这个由中国公司ZAI发布的开放权重模型,被Meta的机器学习与网络安全研究员Joshua Sacks在一篇Substack文章《GLM 5.2,不是神话,才是真正的安全紧急情况》中形容为“具备神话级能力”。 Sacks指出,当行业正在锁定前沿模型、限制访问、应用护栏时,攻击者却可以获取这些未锁定的开放模型。他写道:“问题不在于把AI精灵放回瓶子里,而在于让精灵遍布防御者网络,在网络攻击世界拥有自己的爪牙代码自动化时刻之前,巩固我们的阵地。” ### 关于模型能力与获取门槛的辩论 **Dustin**(魔头)首先回应:“这是不可避免的。GLM 5.2模型需要八块H100,算力要求很大。但通过量化,可以把它缩小。你可以把它们装进像DGX Spark这样只有128GB内存的小型系统里。所以能力正在扩散。GLM 5.2本身从网络安全角度来看并不那么可怕,但可怕的是被破坏的模型、被提取的模型以及修改了权重的模型——如果禁用它的拒绝机制,它就会变得更邪恶。” **Ian**则指出自己的团队用更小的模型就能成功发现漏洞,关键在于有创意的提示方式。“神话级模型是个游戏规则改变者,但并不是绝对必要条件。”他补充,硬件供应商会是最大受益者:“如果能烧更多的令牌,这就会惠及模型提供商、硬件提供商。但可怕的是当你能够用更小得多的模型实现同样水平的计算来创造那些漏洞时——当我们能精炼它,或者更好地提示模型,或者移除一些护栏,或者隔离那种攻击能力时,事情就会变得真正可怕。” **Dustin**提到:“像Qwen、Qwethos还有其他可怕的模型正在出现。感觉每隔一天就有新的东西出来,而且还能装进像MSA 2这样的小东西里。” ### 防护措施的局限性 **Claire**引用另一篇文章中的说法:“‘我们在家就有神话’,这很有意思。神话基本上就像一个锁定的盒子,但如果攻击者认为它存在,就会有人能以某种方式复制它。这有点像AI太空竞赛——总有人会搞明白,不管我们让防御者拥有它,还攻击者拥有它。” **Dustin**尖锐地反驳:“我对几个说法有意见。说什么‘我们让不让’、‘防御者得不得’、‘攻击者得不得’——他们早就得到了。它已经在那里了,不可能再把这个精灵塞回瓶子里了。要么你用控制措施来烦像我这样的人,要么我就开始使用所有其他系统。我用的Opus 4.8在网络安全用例上一直完美运行了很久,直到24小时前,突然连提一下fuzzer都会被屏蔽。人们会开始绕开这个,很快唯一的选择就是开放权重模型了。我认为我们控制事态的机会,在我们宣布这些为出口管制武器、美国开始停止真正前沿模型出口的那一刻就已经失去了。” 主持人总结:“防护措施很好,但那是给好人用的。不是给坏人用的。坏人之所以是坏人,是因为他们一开始就不遵守防护措施。” ### 对防御者的启示 **Ian**提出:“防御者也可以使用攻击者能用的相同模型。他们可以去下载GLM,也可以运行它。攻击者通过Mythos Preview、Daybreak、最新的GPT模型接触到神话、Glasswing之类的东西。现在的问题是:是否存在某个假设性的模型,危险到我们实际上不愿意发布它?这样东西真的存在吗?还是说永远都会是‘不,我们总是能发布越来越强大的模型,这只是我们不得不习惯的事情’?” **Claire**从客户反馈中得知,很多人非常恐慌。“大概的提醒就是,要使用AI来对抗AI,你不能再永远只使用老派的策略。” **Dustin**最后总结:“三个月前,我们已经有了对等物。我认为有一天会出现一个我们永远无法发布的AI模型,但我想我们永远无法阻止它。无论我们喜不喜欢,它都会出现——正如我们已经证明的那样。所以,不管我们愿不愿意,我们都在车上了。” ## CISA BOD 26-04:以四变量模型取代CVSS ### 新指令的核心内容 主持人介绍第二个故事:上个月,美国网络安全和基础设施安全局(CISA)发布了BOD 26-04。这项新指令引入了一个四变量模型来对漏洞进行优先级排序,并采用更动态的修复时间表: 1. **公开暴露程度**:漏洞是否可从机构网络外部利用? 2. **现实世界利用情况**:该漏洞是否正在被实际利用? 3. **利用自动化程度**:利用能否自动化? 4. **影响范围**:利用是否能完全控制受影响系统? 根据这些问题的回答,修复时间表不同:最关键的漏洞必须在3天内修复,最不关键的可以等到系统升级。 ### 小组初步观点 **Claire**表示:“我通常合作的客户并不真正考虑漏洞的分类方式。如果这能帮助组织更快地打补丁,防止大规模危机,那么高管受众会对它更满意。这是要求联邦机构开始采用的东西,其他组织可能会考虑稍后跟进。如果它有助于组织更快地打补丁,那就是一件好事。” 主持人补充说明,这只是一项针对联邦机构的指令,但私营组织可能会自愿参考。 **Dustin**的态度更为谨慎:“对于这些变化,我会保持一点开放的心态。别误会,我只是有点怀疑。因为人们不会回头去更新诸如影响、环境之类的东西。它从来就没有被用于预期的目的。然后NVD(国家漏洞数据库)的丰富…” (此处转录截断,讨论未完成。) Source: [YouTube视频链接](https://youtu.be/qXGJ7pi-XOo?si=s_WKtYH9YiqIzeN4)

相似文章

新闻中关于GLM-5.2的危言耸听

Reddit r/LocalLLaMA

一篇文章讨论了新闻界对开源AI模型GLM-5.2的危言耸听,该模型可在任何硬件上运行,擅长网络安全任务,引发了有关潜在滥用和审查的担忧。

@apivixtls: 这篇文章看完后,我真正注意到的点不是比哪个模型更厉害。作者拿AI跑了一圈实际的安全研究测试。Semgrep直接没找到。Strix接GLM 5.1跑了12小时,花了接近6000万tokens,还是没抓到关键漏洞。Cursor配GPT 5.5…

X AI KOLs Timeline

A security researcher tested four AI approaches (Semgrep, GLM 5.1+Strix, Cursor+GPT 5.5, local AI with custom harness) to find a known LFI vulnerability in PHPIPAM. Only the local AI harness consistently succeeded, demonstrating that the harness methodology matters more than the model, and highlighting advantages of local AI for cost, privacy, and flexibility in security research.