打敗 Anthropic 神話!資安新創 Depthfirst 宣稱,其自研的 AI 模型成功揪出多個連 Anthropic 頂級模型「Mythos」都沒發現的嚴重底層漏洞,且耗費成本僅需十分之一。從潛伏在 NGINX 長達 18 年的史詩級漏洞,到 Linux 與 Chrome 的高危險缺陷,Depthfirst 展現了驚人的抓漏能力。
(前情提要:估值飆破 52 億鎂!歐洲軟體霸主 SAP 戰略投資自動化工作流平台 n8n,全面進軍「代理型 AI」生態)
(背景補充:OpenAI共同創辦人Andrej Karpathy:支持AI模型輸出HTML取代Markdown)
本文目錄
- 攻破全球網路底層:NGINX、Linux 皆中鏢
- 拒絕「技術封閉」,砸 500 萬美元挺開源防禦
- 反面聲音:找漏洞簡單,修復才是地獄
一個月前,Anthropic 發表了頂級 AI 模型「Mythos」,宣稱在關鍵網路程式碼中發現數十個嚴重錯誤,震驚了整個網路安全界。然而,這項「神話」如今卻面臨強勢挑戰。
資安新創公司 Depthfirst 近日公開宣稱,其自研的 AI 模型不僅找到了 Mythos 錯過的重大漏洞,而且成本僅需 Mythos 的十分之一。Depthfirst 執行長 Qasim Mithani 指出,由於他們的模型專為「單一任務(尋找漏洞)」進行了極致優化,因此 Mythos 需要花費 10,000 美元才能完成的工作,Depthfirst 只需 1,000 美元就能搞定。
攻破全球網路底層:NGINX、Linux 皆中鏢
Depthfirst 的 AI 模型所發現的漏洞,影響範圍幾乎涵蓋了當今大多數的網路使用者。以下是其揪出的關鍵致命缺陷:
- NGINX:這是全球部署最廣泛的網頁伺服器(支撐著網路上近三分之二的最常訪問網站)。Depthfirst 發現了一個自 2008 年以來就潛伏在 NGINX 中的漏洞,這意味著過去 18 年來任何 NGINX 伺服器都面臨風險。維護商 F5 Networks 預計將於本週發布修補程式。
- Linux:在開源作業系統 Linux 中發現了一個類似的嚴重缺陷,允許駭客在執行該軟體的電腦上執行惡意程式碼。該漏洞目前尚未修復。
- Google Chrome:發現了多個「高嚴重性」漏洞,駭客可藉此透過惡意網頁發動攻擊。Google 已確認這些發現並完成了修補。
- FFmpeg:這款支撐 Netflix、YouTube、Instagram 與 Spotify 等平台影音基礎設施的開源軟體中,Depthfirst 一口氣找到了 12 個 Mythos 遺漏的新缺陷。
F5 產品長 Kunal Anand 對此感到振奮:「這改變了遊戲規則。當 AI 能夠以無人能及的規模追蹤程式碼路徑並找出邊緣案例時,所有的安全研究人員和工程團隊都會變得更強大。這些錯誤一直都在,只是現在我們有了更好的工具。」
拒絕「技術封閉」,砸 500 萬美元挺開源防禦
除了展現強大的技術肌肉,在今年 3 月剛以 5.8 億美元估值籌集 8,000 萬美元資金的 Depthfirst,也宣布推出「開放防禦倡議(Open Defense Initiative)」。
該計畫將提供總額 500 萬美元的額度,讓企業與開源開發者免費使用其 AI 模型來尋找程式碼漏洞。這與 Anthropic 先前將 Mythos 僅限於 50 家特定公司使用的「封閉式」策略形成鮮明對比。
執行長 Mithani 批評將技術限制在少數合作夥伴手中的做法「是不正確的」。他強調,既然駭客(如 Google 近期警告的網路犯罪集團,以及利用 Claude 發動網攻的間諜)已經掌握了強大的 AI,防禦者就必須動用一切可用的工具來防止網路災難。
反面聲音:找漏洞簡單,修復才是地獄
儘管 AI 抓漏展現了驚人的規模與速度,但並非所有人都認為這將一舉解決網路安全問題。
負責維護 FFmpeg 的核心人員 Jean-Baptiste Kempf 就向《富比士》直言,其實就算不用 AI,要在這個平台上找到錯誤也很容易。他點出了當前資安界最真實的痛點:
📍相關報導📍
Arthur Hayes 看多:AI 泡沫是比特幣最大機會
OpenAI 警告灰色股權交易:代幣化股權、SPV、遠期合約皆屬無效轉讓
OpenAI 推出 Daybreak 資安計畫:四大能力偵測高風險漏洞,正面挑戰 Claude Mythos
