据 theregister.com 的一份报告显示,Anthropic 推出的新型 AI 驱动代码安全工具 Mythos 目前仍局限于识别已知类型的漏洞,尚无法发现全新的安全缺陷。
作为 Anthropic “Glasswing 项目”的一部分,该工具近期在 Firefox 软件上进行了测试。尽管系统标记出了 271 个漏洞,但据该媒体报道,这些漏洞全都是人类专家此前已经发现过的。
批评人士认为,该工具的命名可能存在误导性。虽然 Anthropic 命名“Mythos”或许是想寓意其拥有“神一般的”安全防御能力,但报告指出,这个词也可能指代“来源不明且与现实不符的一套信仰”。
目前,Mythos 的功能更像是人类专业知识的自动化延伸,而非替代品。它擅长识别人类已经记录在案的漏洞类别,但在应对“零日漏洞”或未知的架构缺陷时显得力不从心。
自动化漏洞挖掘的演进
尽管存在目前的局限性,但该报告认为,Mythos 的推出预示着自动化工具普及化的未来。预计这项技术将不断进化,最终在代码部署之前,就能显著提升其安全性。
行业观察人士将当前的 AI 安全现状比作喷气式飞机时代的初期。在那个时代,飞机曾出现过结构性缺陷,但最终通过工程技术的进步和监管审查得到了解决。报告暗示,随着 Mythos 等工具的完善,代码有望在发布前就达到“真正卓越”的水平。
然而,过渡期也带来了风险。报告警告称,如果将“成群结队的、不知疲倦的漏洞猎杀机器人”部署到仍运行着“前工业时代”安全标准的软件环境中,可能会导致混乱的后果。
安全专家指出,即便软件漏洞被消除了,供应链攻击和人为错误等其他攻击向量依然存在。报告总结道,虽然 Mythos 目前还无法解决安全危机,但其发展轨迹指向了一个由计算机承担重复性漏洞挖掘工作、而人类则专注于管理复杂设计与运行的未来。
