行业背景与挑战 - 首席信息安全官已成为企业内压力最大的职位之一 [1] - 今年春季，Anthropic的Mythos和OpenAI的GPT-5.5模型引发了对攻击者利用先进AI模型破解全球系统的担忧浪潮，加剧了网络安全行业已有的问题 [1] - 与以往相比，更多公司使用外部代码库，如果这些代码包存在漏洞，可能使黑客攻击更容易扩散 [2] - 去年，OpenAI和Anthropic的编码工具兴起，帮助开发者快速生成数百万行新代码，但这些工具容易产生开发者未能发现的错误和漏洞，使研究人员、公司和政府高度警惕 [2] - 网络安全初创公司Semgrep的CEO表示，所有人都预测今年黑客攻击会大幅增加 [3] - 网络安全初创公司Socket的CEO指出，开发者审查新代码不够仔细，加上使用外部代码库来补充公司内部代码，创造了危险的“完美风暴” [5] - 开源代码库通常维护良好，遵循透明度有助于消除漏洞的原则，但现在许多公司使用这些代码库中的代码，AI工具也经常从中提取，导致单一安全漏洞可能危及许多公司 [6] - 所有软件的漏洞暴露面正在迅速扩大 [6] AI模型带来的具体风险与影响 - Anthropic的Mythos模型发现了数千个严重的安全漏洞，其中一些漏洞被人类忽视了十多年，同时该模型还能利用“每个主要操作系统和每个主要网络浏览器” [7] - Anthropic实验室的一些工程师曾利用该技术在一个晚上就找到了可行的黑客方法 [7] - 公司决定不向受信任合作伙伴群体之外发布该模型，让防御者获得先机 [8] - Mythos的发布声明明确指出：“最终，安全社区将变得非常困难” [8] - Anthropic关于制造了一个过于危险而不能立即发布的模型的警告在全球引起反响，特朗普政府开始讨论审查新AI模型的系统 [9] - 英国政府官员也发布了一封关于Mythos的公开信，警告企业董事会应讨论网络风险 [9] - 企业界的安全社区迅速采取行动，要么寻求获得Mythos的访问权限，要么竞相测试它，一些早期评论证实了Anthropic的担忧 [9] - Mozilla团队表示，Mythos帮助他们发现并修复的安全漏洞比前一年更多 [10] - 安全公司Calif的研究人员表示，Mythos帮助他们识别了MacOS中的漏洞，将其关联起来，并最终找到了一种破坏部分以安全著称技术的方法 [10] - 网络安全巨头如CrowdStrike、Palo Alto Networks和Fortinet最近都发布了警告前沿AI潜在危险的公告 [10] 行业应对与合作 - OpenAI发言人指出，最近一系列以网络安全为重点的公告和发布旨在让AI改进帮助防御者更快速有效地工作，公司推出了“Daybreak”页面让开发者请求安全扫描 [3] - Anthropic也正处于网络安全推广期 [3] - 网络安全初创公司Semgrep的CEO表示，最近的威胁促使他的公司扫描其代码库以查找漏洞，团队发现了两个漏洞，均由Anthropic的Claude产品引入 [4] - 这是AI编码热潮的一个缺点，如果公司生成的代码行数是原来的10倍，那么应该预期漏洞数量也会是10倍，或者更糟 [4] - 安全团队已经在使用新的AI模型来搜索漏洞，同时也担心攻击者获得类似强度模型的访问权限 [7] - 安全初创公司Snyk的新兴技术与解决方案办公室负责人表示，在Mythos和OpenAI的GPT-5.5叠加在其他安全问题上之后，“如果你今天是一名CISO，你正生活在我称之为‘AI迷雾’的环境中” [11] - Snyk公司，与Socket和Semgrep一样，已与OpenAI签署合作伙伴关系，试图抵御担忧的风暴 [11] - Anthropic也在孵化这些合作伙伴关系，让Snyk等公司有机会试用先进技术 [11] - Anthropic前沿红队负责人最近在X上写道，他的网络安全团队正在“以我们负责任的最快速度将Mythos带给防御者” [12] - 安全始终是一项团队运动，模型公司需要理解安全工作的方式，并且他们正在这样做 [12]