Anthropic旗下AI模型Mythos遭黑客入侵事件始末

這對一家將AI安全作為核心品牌形象的公司而言，實屬難堪。

Anthropic對Claude Mythos的嚴格管控推出計劃，近日出現(xiàn)了令人尷尬的轉(zhuǎn)折。該公司此前數(shù)周一再強調(diào)，這款AI模型在網(wǎng)絡安全領域的能力過于強大，危險性過高，因此不宜向公眾開放。然而諷刺的是，該模型最終還是落入了未經(jīng)授權(quán)人員的手中。

據(jù)彭博社報道，自Anthropic宣布計劃向少數(shù)企業(yè)提供Mythos測試訪問權(quán)限當天起，一個"小規(guī)模未授權(quán)用戶群體"便已獲得了該模型的訪問途徑——而Mythos的存在本身，最初也是通過一次信息泄露才得以曝光。目前Anthropic表示正在調(diào)查此事。對于一家以認真對待AI安全為立身之本、同時大力宣傳其最新模型網(wǎng)絡安全能力的公司來說，這無疑是相當難堪的局面。

從技術角度來看，此次Mythos泄露事件令人尷尬的原因在于其入侵手段極為低級。彭博社報道稱，該群體是通過對模型在線位置進行"有根據(jù)的猜測"而獲得訪問權(quán)限的。他們利用了AI培訓數(shù)據(jù)公司Mercor遭受數(shù)據(jù)泄露后暴露的Anthropic其他模型相關信息，加上其中一名成員此前曾以合同工身份參與Anthropic模型評估工作而獲得的內(nèi)部權(quán)限。整個入侵過程結(jié)合了內(nèi)部知識與運氣成分，而非依賴某種復雜的技術手段或?qū)δＰ偷娜娓`取。

Anthropic未能預防"完全可以預見"的安全漏洞

安全漏洞在所難免，且向黑客提供關鍵信息的是Mercor，而非Anthropic本身。英國皇家聯(lián)合軍種研究所（RUSI）研究員皮婭·許施告訴我，沒有任何公司能做到萬無一失，人為因素往往是最薄弱的環(huán)節(jié)，盡管此次事件"初看之下確實帶有一定運氣成分"，未造成嚴重后果。

然而這并非純粹的運氣問題。此類有根據(jù)的猜測是極為常見的黑客攻擊手段，而Mercor的數(shù)據(jù)泄露在Mythos發(fā)布之前便已是公開的事實。安全研究員盧卡什·奧列伊尼克在接受我采訪時將其描述為一種"完全可以預見"的失誤——網(wǎng)絡安全行業(yè)在過去20年里已對此類攻擊司空見慣。因此，Anthropic本應預判到這一風險并做好相應準備，尤其是在已知自身信息遭到泄露的情況下，更應如此。

奧列伊尼克還指出，Anthropic原本具備發(fā)現(xiàn)此次入侵的技術手段。該公司能夠?qū)δＰ褪褂们闆r進行"日志記錄與追蹤"，這本應使其能夠阻止未授權(quán)或惡意訪問——尤其是考慮到Mythos的推出范圍原本應極為有限。顯然，Anthropic的監(jiān)控力度遠遠不夠。鑒于該公司一再強調(diào)這款模型的危險性，外界有理由追問：為何監(jiān)管如此松懈？

據(jù)彭博社報道，該群體并未將Mythos用于網(wǎng)絡安全攻擊任務，部分原因是他們只是想探索這款新模型，另一部分原因則是這樣做可能會驚動Anthropic。如果Anthropic圍繞Mythos發(fā)出的警示值得認真對待，那么這算是不幸中的萬幸。該公司將Mythos定位為"網(wǎng)絡安全領域的里程碑"，聲稱其發(fā)現(xiàn)了"所有主流操作系統(tǒng)和網(wǎng)絡瀏覽器"中的安全漏洞，并表示其發(fā)布必須經(jīng)過統(tǒng)籌協(xié)調(diào)，以留出時間"強化全球網(wǎng)絡防御體系"。

Anthropic慣于使用戲劇性的、聽起來令人警覺的措辭，這類表述有時難以得到清晰驗證，甚至包括暗示其Claude模型可能具有意識的說法。盡管如此，來自有權(quán)訪問該模型各方的早期報告顯示，Mythos在網(wǎng)絡安全領域確實表現(xiàn)出色。Mozilla首席技術官博比·霍利表示，該模型在Firefox 150中發(fā)現(xiàn)了數(shù)百個漏洞，或許能讓防御方在對抗攻擊者的博弈中首次取得全面勝利。不出意外，世界各地的政府機構(gòu)和金融機構(gòu)都對其趨之若鶩。據(jù)報道，盡管Anthropic被列為供應鏈風險，美國國家安全局及其他美國機構(gòu)仍獲得了訪問權(quán)限，但此次推出似乎尚未將美國網(wǎng)絡安全和基礎設施安全局（CISA）納入其中。

"Anthropic聲稱自己站在這些技術的絕對最前沿，同時也將自己定位為這一切中負責任的行為者。"

此次入侵事件由記者而非Anthropic自身發(fā)現(xiàn)，這一事實不禁令人追問：這是否只是一起孤立事件？許施表示，這"真實地揭示了潛在實施者群體的規(guī)模有多廣泛，即便他們并不具備高度復雜的技術手段"。Anthropic很可能會對其供應鏈展開全面排查，弄清事件原委并堵塞漏洞，但她指出，想要獲取此類模型訪問權(quán)限的行為者范圍極廣，其中不乏資金雄厚者。沒有理由假設其他可能已獲得訪問權(quán)限的人，會像彭博社報道中提及的那個群體一樣保持克制。

某種程度上，Anthropic是在自食其果。該公司的品牌形象建立在比競爭對手更認真對待AI安全的基礎之上，這為其模型安全樹立了極高的預期標準，而此次明顯的疏忽與之形成了強烈反差；尤其是Mythos竟通過如此基礎且可預見的漏洞遭到入侵，更加凸顯了這一落差。更糟糕的是，Anthropic將Mythos大力渲染為一款能力非凡、危險性過高而不宜公開發(fā)布的工具，這反而使其成為了眾矢之的——無論是對惡意攻擊者，還是對那些單純尋求挑戰(zhàn)的黑客而言，皆是如此。

這甚至不是Mythos首次陷入安全尷尬。該模型的存在此前曾在正式發(fā)布前，通過其網(wǎng)站內(nèi)容所在中央系統(tǒng)上的一處"不安全數(shù)據(jù)存儲"意外泄露。如今，該模型又通過一個完全可以預見、Anthropic卻未想到予以修補的漏洞遭到秘密訪問。完美固然無從企及，但對于一家自詡為AI安全領域先鋒的公司而言，如此基礎性的失誤實難辯解，即便考慮到其所遭遇的部分運氣不佳因素，亦是如此。

在許施看來，整件事可以用一個詞來概括：羞恥。"Anthropic聲稱自己站在這些技術的絕對最前沿，同時也將自己定位為這一切中負責任的行為者，"她說，"而如今，該模型竟在如此短的時間內(nèi)通過未授權(quán)手段、以如此低級的嘗試遭到訪問，這對他們而言是真正的羞恥。"

Q&A

Q1：Claude Mythos是什么模型？為什么不對外公開發(fā)布？

A：Claude Mythos是Anthropic開發(fā)的一款AI模型，該公司聲稱其在網(wǎng)絡安全領域能力極強，曾發(fā)現(xiàn)所有主流操作系統(tǒng)和瀏覽器中的漏洞。正因如此，Anthropic認為公開發(fā)布風險過高，僅向少數(shù)經(jīng)過篩選的企業(yè)提供測試訪問權(quán)限，并表示需要統(tǒng)籌協(xié)調(diào)發(fā)布時間，以留出強化全球網(wǎng)絡防御體系的準備時間。

Q2：黑客是如何入侵Mythos的？技術手段復雜嗎？

A：入侵手段并不復雜。未授權(quán)群體通過對模型在線位置進行"有根據(jù)的猜測"獲得訪問權(quán)限，所利用的信息來自AI培訓數(shù)據(jù)公司Mercor此前遭受的數(shù)據(jù)泄露，加上一名成員曾以合同工身份評估Anthropic模型時獲得的內(nèi)部知識。安全研究員將其描述為網(wǎng)絡安全行業(yè)20年來已司空見慣的"完全可以預見"的攻擊方式。

Q3：Anthropic此次安全事故暴露了哪些管理問題？

A：主要暴露了兩方面問題：一是風險預判不足，Mercor數(shù)據(jù)泄露在Mythos發(fā)布前便已公開，Anthropic理應提前預判并修補相關漏洞；二是監(jiān)控缺位，該公司本具備對模型使用情況進行日志記錄與追蹤的技術能力，卻未能及時發(fā)現(xiàn)未授權(quán)訪問，最終還是由媒體記者而非公司自身披露了這一事件。