攻守兼備|Anthropic Mythos掃2.3萬個漏洞 Compliance API建企業防線
Anthropic 近日接連推出兩項重大革新,一方面用旗下最新模型 Claude Mythos Preview 掃描近千個開源軟件項目,成功偵測超過 2.3 萬個潛在安全漏洞;另一方面推出 Claude Compliance API,聯手 28 家網安及合規平台,將 AI 助理打造成可受企業管控的安全工具。兩項部署一攻一守,恰好回應了 AI 時代企業兩大痛點:軟件漏洞遭黑客自動化利用,以及員工使用 AI 導致商業機密外洩。
Anthropic 的漏洞偵測行動由 Mythos 模型自動掃描,再由外部網安公司負責複核確認。Mythos 能夠在短時間內自主審視海量開源編碼庫,識別出連安全專家也可能忽略的隱藏漏洞,將傳統上需要大量人手的審查工作工具化及自動化。
近千個漏洞被評為高危或嚴重
根據 Anthropic 披露的最新數據,Mythos 已由近千個開源軟件項目中偵測出超過 2.3 萬個潛在安全漏洞,當中 1,900 個已交外部網安公司複核,確認漏洞達 1,726 個,當中近千個被評級為「高危」或「嚴重」。Anthropic 估計隨著掃描工作持續推進,最終嚴重漏洞總數或高達 6,200 個。現時有近千個未經驗證的漏洞已向相關軟件廠商報告,已處理 75 個「高危」或「嚴重」級別漏洞,Anthropic 估計現時修復數字偏低,主要原因是未達 90 日漏洞公開期限,所以相關廠商仍未急於修復漏洞,另外亦有廠商可能在修復漏洞未有公開,可能要待 Mythos 再次進行掃描時便能發現。
今次行動中另一焦點是多間參與的機構都表示有實際成效,例如 Firefox 瀏覽器開發商 Mozilla 披露,Mythos 協助其在 Firefox 中發現多達 271 個安全漏洞;網安公司 Palo Alto Networks 亦表示在 Mythos 協助下找出數十個系統缺陷;英國政府在測試中同樣取得理想成果,可見 Mythos 的實戰能力已獲業界廣泛認可,亦再一次證明 Mythos 落入壞人手上的恐怖之處,有足夠理據支持「Project Glasswing」的限制合作框架。
與 28 間巨頭打造防禦體系
如果話 Mythos 代表 Anthropic 的攻擊力,Claude Compliance API 與全球 28 個網安及合規平台的整合部署就是 Anthropic 精心打造的防禦體系。官方早前宣佈 Claude 已全面接通 28 個企業網安與合規平台,務求讓 AI 助理成為可被監察、可被管控的工具,徹底融入企業現有的 IT 架構。
今次參與的公司陣容鼎盛,包括 CrowdStrike、Palo Alto Networks、Microsoft、Okta、Zscaler、Cloudflare、Fortinet 及 IBM 等。整合方案的核心是全新推出的 Claude Compliance API,這個 API 可為企業 IT 及網安團隊提供兩大關鍵數據,分別是 Claude Enterprise 的對話內容,包括聊天記錄、上傳文件及項目資料,以及平台的活動日誌。
對於已採用上述合規平台的企業來說,部署流程極為簡單,只需連接並設定 Claude 實例,數據便會自動流入現有的儀表板及警示系統,毋須額外整合工程。令企業毋須在「全面禁用」與「放任使用」 AI 之間二選一,而是可以有序及具備可視度的情況下將 AI 融入日常業務運作。
