曾因太擅長尋找安全漏洞、被認為過於危險而未公開的 Anthropic AI「Mythos」,在實際開源專案測試中僅發現 1 個微小的 Bug,因此受到「誇大宣傳」的批評。
想像一下。世界頂級的鎖具專業公司發表了一項重大聲明:「我們新打造的萬能鑰匙實在太強大、太危險,甚至能瞬間打開世上所有的保險箱,因此絕對不能向大眾公開。」人們肯定會用夾雜著恐懼與好奇的眼神,想探究這把萬能鑰匙的真面目。而這把萬能鑰匙的名字,正是最新的現代人工智慧(AI)。
| 事實上,最近 AI 業界就發生了類似的事情。知名 AI 企業 Anthropic 暗示,他們新推出的 AI 模型「Mythos」在尋找軟體安全漏洞方面的能力太過卓越,以至於公開給大眾會帶來危險,這番言論引發了巨大的話題 [[安全 - cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀 | The Helper](https://www.thehelper.net/threads/anthropic%E2%80%99s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator.201066/)]。 |
| 然而,將這把「萬能鑰匙」直接在世界上最堅固、最複雜的「保險箱」之一進行測試後,得出的結論卻與人們的預期完全不同。構成全球無數電子設備和網際網路系統骨幹的核心軟體「cURL」的創始人 Daniel Stenberg,親自驗證了這個 AI 的實力,並給出了果斷的評價。他直言,世人對 Mythos 能力的大驚小怪,不過是「史上最成功的行銷秀(greatest marketing stunt ever)」罷了 [[cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀 | daily.dev](https://app.daily.dev/posts/anthropic-s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator-lifvxyq4b)]。 |
究竟號稱「太危險而隱藏」的 AI 駭客,揭開面紗後到底裝了些什麼?今天 MindTickleBytes 將帶您了解這起有趣事件的始末,以及如何看穿 AI 技術誇大宣傳的方法。
這為什麼重要?(Why It Matters)
這起事件之所以不只是一個小插曲,而是與我們日常生活息息相關,是因為受測的軟體正是「cURL(一種在網際網路上廣泛用於數據傳輸的免費開源程式)」。簡單來說,當您用智慧型手機重新整理天氣 App、在 Netflix 載入電影列表,甚至當最新的汽車與伺服器進行通訊時,cURL 都在看不見的角落默默運作。換句話說,如果 cURL 出現了任何人都能輕易突破的安全漏洞,就意味著全世界的數位設備將同時暴露在駭客攻擊的風險之中。
Anthropic 暗示他們開發出了「Mythos」這樣一個能精準找出核心系統漏洞的可怕 AI [cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀…]。如果這是真的,就等同於駭客掌握了可以利用該 AI 癱瘓整個網際網路的可怕武器。人們擔憂:「AI 是不是已經脫離了人類的控制,正在自行尋找破壞系統的方法?」這對企業的安全負責人來說,絕對是個會讓人神經緊繃的新聞。
| 但現實情況與科幻電影截然不同。對於管理開源專案的開發者來說,真正的威脅並非「AI 的叛亂」,反而是 AI 打著「安全」的名號,胡亂發出的低品質警告信。cURL 創始人 Stenberg 呼籲,隨著近期 AI 的發展,AI 向開源專案管理員傾瀉了如洪水般海量的安全漏洞報告,這早已遠遠超出管理員能夠閱讀和處理的速度 [[稱 Mythos 為「公關噱頭」的 Curl 創始人表示 AI 將… | Cybernews](https://cybernews.com/security/curl-bug-bounty-ai-security-reports-daniel-stenberg/)]。 |
也就是說,惹麻煩的並不是聰明絕頂的 AI,而是尚未成熟的 AI 把自己找到的微小灰塵誇大為「炸彈」,並不間斷地按下舉報按鈕。這起事件向我們展示了,為何區分真正的技術發展與企業行銷,會成為現代社會最重要的生存智慧之一。
輕鬆了解(The Explainer)
「尋找程式碼的漏洞」究竟是個怎樣的過程呢?如果您對程式碼或安全這類詞彙感到有些陌生,我們可以這樣比喻:
舉例來說,這裡有一本厚達 17 萬 6 千頁的巨著(軟體的程式碼)。這本書記載著世上最重要的規則,即使只錯了一個字,也可能引發嚴重的事故。人類審閱者(開發者)必須日以繼夜地閱讀這本書,尋找錯字或上下文不通順的地方。
這時登場的 AI 安全工具,就像是一台速度極快且細心的「自動拼寫檢查器」。AI 不會像人類一樣感到眼睛疲勞,它能在一秒內掃描數萬頁,像鑷子一樣精準地挑出空格錯誤或漏掉句號的地方。從這方面來看,AI 確實是協助人類的實用工具。這次接受測試的 Mythos 同樣發揮了積極的作用,它不僅分析了程式碼並提供實用的反饋,還針對錯誤給出了出色的解釋和描述,以便團隊進行修正 [cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀]。
但是,尋找「新的安全漏洞(駭客可以入侵的全新破口)」與單純的拼寫檢查完全不在同一個層次。這就像是推理小說中的名偵探,必須以常人意想不到的巧妙方式扭曲文章的脈絡,從中找出隱藏的密碼,這是一個極具創造力的過程。
Mythos 在尋找過去曾發生的錯誤(即「已知的錯誤模式」)方面是個好手,但它卻缺乏獨立發現需要人類創造力才能找出的「世上前所未見的新型漏洞」的推理能力 [cURL 創始人稱 Anthropic 尋找漏洞的 Mythos 為終極…]。
這正是 Daniel Stenberg 斷言 Mythos 是「史上最成功的行銷秀」的原因 [Anthropic 尋找漏洞的 Mythos 是史上最成功的行銷秀…]。本以為是足以摧毀世界的反派駭客,結果其實只是一個死背既有規則的認真校對工讀生。這與 Anthropic 先前聲稱因危險而不願公開的模樣相去甚遠,是個令人失望的反轉。
目前情況(Where We Stand)
那麼,實際的成績單究竟如何呢?
Anthropic 透過 Linux 基金會(Linux Foundation)名為「Project Glasswing」的計畫,為具有影響力的開源專案(任何人都能查看程式碼並參與開發的軟體)提供了測試 Mythos 的機會。Daniel Stenberg 也是透過此途徑才得以存取分析結果報告。(有趣的是,Stenberg 本人指出,他其實完全沒有獲得直接操作或存取 Mythos AI 模型本身的權限) [cURL 創始人 Daniel Stenberg 稱 Anthropic 的 Mythos AI 漏洞尋找工具為「史上最成功的行銷秀」]。
就這樣,Mythos 對構成 cURL 高達 17 萬 6 千行的龐大程式碼進行了地毯式的掃描 [Curl 創始人測試「太危險」的 Mythos AI 並稱之為「行銷…」]。結果有找出一大堆足以毀滅世界的可怕 Bug 嗎?完全沒有。
Mythos 在初步分析中舉旗指出了共 5 個問題點。但經過 Stenberg 仔細確認後發現,其中有 3 個只是開發者早已知曉並記錄在案的缺陷。另外 1 個則是與安全無關的普通 Bug。最後,萬眾矚目的剩下那 1 個,才是唯一能被分類為安全漏洞的問題 [Curl 創始人測試「太危險」的 Mythos AI 並稱之為「行銷…」]。
然而,就連這唯一 1 個安全漏洞,也只是「低嚴重性(severity low)」的微小且普通的級別 [cURL 創始人表示 Anthropic 尋找漏洞的 Mythos 是史上最成功的行銷秀 - Slashdot]。這樣的結果要用來證明 Mythos 的可怕程度實在過於寒酸。這個小缺陷預計將在 6 月底 cURL 8.21.0 版本發布時,作為修補項目(CVE,指公開已知的軟體安全漏洞標準識別碼)對外公布。對此,Stenberg 貶低道:「這個缺陷絕對不會讓任何人驚訝到倒吸一口氣。」[cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀]
還有更令人痛心的比較對象。根據 Stenberg 的說法,在最近 8 到 10 個月裡,像 AISLE、Zeropath、OpenAI Codex Security 等其他看起來相對普通(?)的 AI 程式碼分析工具,在 cURL 中推動了多達 200 到 300 個 Bug 的修復。他表示,Mythos「並沒有比其他工具優秀到能在程式碼分析領域留下有意義的痕跡」,斷言圍繞 Mythos 的過高期待不過是行銷手法,而非重大的 AI 安全創新 [cURL 創始人 Daniel Stenberg 稱 Anthropic 的 Mythos AI 漏洞尋找工具為「史上最成功的行銷秀」]。
接下來會怎樣?(What’s Next)
這個插曲為我們看待技術留下了一個重要的教訓。正如英國公共廣播公司 BBC 敏銳指出的那樣,向世界宣稱自家打造的 AI 工具具備「前所未見的創新能力」,這完全符合 Anthropic 等 AI 企業的利益 [什麼是 Anthropic 的 Claude Mythos,它會帶來哪些風險?]。為了吸引投資和人們的關注,甚至連技術的危險性也被當作具吸引力的廣告素材,這樣的時代已經來臨。
因此,未來我們在接觸新聞時,必須始終經過「現實的過濾器」。AI 技術確實正以驚人的速度發展。AI 能夠在短短幾秒內掃描複雜的程式碼並找出容易遺漏的錯字,這大幅減輕了過去人類開發者的辛勞,也提升了軟體的整體品質。
但對於 AI 明天就會立刻變身為統治網路世界的駭客這類恐懼,您可以暫且放下。正如 Mythos 的案例所證明的,現存的 AI 依然缺乏創造力,仍停留在組合與比較所學數據的階段。我們真正該擔心的,或許不是「太聰明的 AI」,而是被 AI 產出的看似合理的結果與誇大廣告所欺騙的「我們的急躁」。
專家們預計,未來 AI 企業仍會持續包裝新產品,宣稱其為「足以威脅人類的突破性模型」。就如 BBC 的分析所言,在 AI 領域中,敏銳地分辨出合理且有根據的主張與只剩空殼的誇大宣傳,這項能力正變得比以往任何時候都更加艱難且重要 [什麼是 Anthropic 的 Claude Mythos,它會帶來哪些風險?]。
AI 的視角(AI’s Take)
MindTickleBytes AI 記者的視角: 包裝技術的行銷手法進化速度,和技術發展的速度一樣猛烈。「因為太危險而隱藏」這句話,永遠是最能強烈刺激人類好奇心的魔法咒語。歸根究柢,這次 Stenberg 一針見血的批評提醒了我們:在 AI 真正統治世界之前,我們人類必須培養堅定查核事實的理性,才不會被這場華麗的「語言盛宴」所吞噬。
參考資料
- cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀
- cURL 創始人表示 Anthropic 尋找漏洞的 Mythos 是史上最成功的行銷秀 - Slashdot
- cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀 • The Register Forums
- cURL 創始人 Daniel Stenberg 稱 Anthropic 的 Mythos AI 漏洞尋找工具為「史上最成功的行銷秀」
-
[cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀 daily.dev](https://app.daily.dev/posts/anthropic-s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator-lifvxyq4b) -
[安全 - cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀 The Helper](https://www.thehelper.net/threads/anthropic%E2%80%99s-bug-hunting-mythos-was-greatest-marketing-stunt-ever-says-curl-creator.201066/) - cURL 創始人:Anthropic 尋找漏洞的 Mythos 只是史上最成功的行銷秀…
- Anthropic 尋找漏洞的 Mythos 是史上最成功的行銷秀…
- Curl 創始人測試「太危險」的 Mythos AI 並稱之為「行銷…」
-
[稱 Mythos 為「公關噱頭」的 Curl 創始人表示 AI 將… Cybernews](https://cybernews.com/security/curl-bug-bounty-ai-security-reports-daniel-stenberg/) - cURL 創始人稱 Anthropic 尋找漏洞的 Mythos 為終極…
- 什麼是 Anthropic 的 Claude Mythos,它會帶來哪些風險?
- 人類歷史上最偉大的駭客工具
- 史上最成功的行銷秀(誇大宣傳)
- 能完全取代開發者的 AI
- 1 個
- 5 個
- 200 個以上
- 連既有的簡單 Bug 都完全找不到
- 缺乏人類的創造力,無法自行發現世上前所未見的新型漏洞
- 會自行撰寫程式碼來破壞程式