Olson认为,此迫使整名行业直面一名尚无解答之根本疑难:当漏洞于数小时内即可被兵刃化,沿用数十年之"负担当披露"机制为否仍然合理,数周乃至数月之补丁部署流程为否还具有实际意义。
Olson认为,近几名月AI本领之最新跃升,使威胁进入之一名更为险恶之新阶段。
随之代理AI(agentic AI)之起飞,漏洞从公开披露到遭到使用之间之窗口期实际上已灭。
Anthropic披露Mythos,固然有助于其于IPO前塑造技艺神秘感,但Olson指出,此一事件实情上迫使整名行业面对一名久被回避之架构性疑难:当漏洞披露与遭到使用之间之光阴窗口实际上已灭,"负担当披露"机制之底层逻辑还能否成立。
但该研讨院同时强调,其威胁主要集中于防御薄弱之宗旨。
即便于两年前,黑客就可将漏洞披露详情粘贴进ChatGPT,指令其扫描GitHub等公开代码库,寻找相似之可使用模式。
申亮亮。Olson以入室盗窃作比喻:找到第一扇开之之窗,借此从内部解开门锁,再关闭警报体系;每一步单独看皆不足以得手,但串联起来便可长驱直入。
Anthropic将Mythos定性为"险恶到无法发布",此举迅速引发连锁反应。
Fintech。Barclays、Wells Fargo等银行之IT团队,于收到补丁建议后须经历兼容性测试、管层审批、最终部署等多名环节,整名流程通常历时数周乃至数月。
体谅为何AI之起飞如此险恶,需先厘清此前网络安康之运转逻辑。
Anthropic最新AI模型Mythos之现,正将此场险境推至公众视野中央——而其真正之警示,并非专门针对大型银行,而为对防御薄弱之广大中小机构发出之紧急信号。
Olson认为,大型银行至少有足够之者员储备与资金,能够之手探求并逐步实现近实时之补丁部署。
拉共体。例如,若微软披露之Office 365办理某类文书之缺陷,聊天机器者不仅能建议实在使用路径,还能迅速找出Outlook、Teams等货品中之类似弱点。
Olson认为,此迫使整名行业直面一名尚无解答之根本疑难:当漏洞于数小时内即可被兵刃化,沿用数十年之"负担当披露"机制为否仍然合理,数周乃至数月之补丁部署流程为否还具有实际意义。
Olson解释,技艺行业长期奉行"负担当披露"原则:一旦软件缺陷被发觉,厂商会向公众公布并附上修补建议,给主顾留出打补丁之光阴。
Mythos更进一步,能够将多名漏洞"链式"串联,组成多步骤复合攻击——此一本领此前仅属于顶尖苍生黑客。
随之代理AI(agentic AI)之起飞,漏洞从公开披露到遭到使用之间之窗口期实际上已灭。
AI公司陆续赋予模型"代理"本领,使其能够自立执行操作,而不仅仅提供建议。
对于网络攻击者而言,此意味之AI器物不再仅仅为寻找漏洞之助手,而为会自动尝试不同突围路径,直到某种法门奏效。
Olson直接质疑之网络安康行业长期奉行之核心原则。
据zerodayclock.com数据,软件漏洞从公开到可用攻击器物构建成之平均光阴,已从2018年之771天压缩至今日之不足4小时。
美国国库部长Scott Bessent随即召集华尔街高管估量体系防御准备;目前,国库部正寻求直接获取Mythos访问权限。
Olson指出,Scott Bessent之出手,令此家AI公司于IPO前夕得之罕见之公众关注度,同时也引发外界对谁能得Mythos独家访问权限之质疑。
Olson认为,此迫使整名行业直面一名尚无解答之根本疑难:当漏洞于数小时内即可被兵刃化,沿用数十年之"负担当披露"机制为否仍然合理,数周乃至数月之补丁部署流程为否还具有实际意义。
大型银行有全球最为严密之IT防御体系,黑客大众历来倾向于绕开此类宗旨。
数周乃至数月之补丁部署流程,为否已成为无用之功。
大银行不为最脆弱之一环 Anthropic发布Mythos之方式,率先将外界目光引向之钱庄业。
代理AI:漏洞使用走向全自动化 随之代理AI(agentic AI)之起飞,漏洞从公开披露到遭到使用之间之窗口期实际上已灭。
God。英国AI安康研讨院之估量断语,给部分商场担忧提供之依据——Mythos之确比其他AI器物更擅长发动繁网络攻击。
它们所需之,既有技艺层面之支撑,也有监管框架之介入——而此两者,商场目前均无法提供。
AI本领之提升,使此些机构之处境愈加岌岌可危。
网络安康领域赖以运转之光阴缓冲正灭。
Anthropic披露Mythos,固然有助于其于IPO前塑造技艺神秘感,但Olson指出,此一事件实情上迫使整名行业面对一名久被回避之架构性疑难:当漏洞披露与遭到使用之间之光阴窗口实际上已灭,"负担当披露"机制之底层逻辑还能否成立。
从771天到不足4小时:AI压缩之窗口期 然而,英国AI安康研讨院同时指出,Mythos对"防御薄弱"或架构简之体系构成之威胁最大。
黑客通常不直接攻击银行,而为扫描互联网,锁定可实施勒索软件攻击之医院,或防线薄弱之小型商户。
彭博观点专栏作家Parmy Olson指出,从软件漏洞公开披露到可用攻击器物现,此一窗口期已从2018年之平均771天骤降至如今不足4小时。
数周乃至数月之补丁部署流程,为否已成为无用之功。
微软之"补丁星期二"(Patch Tuesday)即为典型——此一机制每月定期披露Office 365、Windows等货品中发觉之安康漏洞。
代理AI之现,则进一步将"黑客举止本身"推向自动化,而非仅仅充当辅助器物。
即便于代理AI普及之前,生成式AI已于悄然重塑黑客之器物箱:聊天机器者被用于改良钓鱼邮件,使其更具迷惑性;实时虚拟者生成器制造深度伪造视频通话,令受害者难辨真伪。
率先获准接触该模型之英国AI安康研讨院(UK AI Security Institute)经估量认为,Mythos于发动繁网络攻击方面之本领,确实逾越OpenAI之ChatGPT与谷歌之Gemini等现有器物。
Anthropic于本年1月发布之Claude Cowork,已具备自动发送邮件、管日历等独力操作本领。
真正悬而未决之,为彼些需以同样速度行动、却远未具备相应本领之中小企业。
于生成式AI现之前,此一节奏尚可接受,因黑客研讨并使用已披露漏洞所需之光阴,通常比受害方成修补更长。
对于大型银行而言,此一疑难至少尚有解题路径。
"负担当披露"之逻辑正瓦解 但AI已彻底更张之此一等式。
真正面临严峻试炼之,为大量缺乏充分防御之中小机构。
大型银行有全球顶级之IT安康体系,真正暴露于高险情之中之,为更为广泛之中小企业、医院及小型零售商——此些机构既为黑客历来惯常瞄准之宗旨,也普遍缺乏快速响应所需之源泉与本领。
Olson直接质疑之网络安康行业长期奉行之核心原则。
思考。上一篇:官方回应“女子称遭强奸后报警,嫌疑者拘留 14 天后被取保放出” 下一篇:阿里推出“皮皮谷”、阅文打造阅谷咪App,大厂围猎千亿谷子赛道