这家初创公司的AI揪出Anthropic Mythos模型遗漏的高危漏洞
阅读 📰 来源: 瓦斯阅读 🔄 RSS 🕐 2026-06-03 18:02 👁 3
        初创公司Depthfirst称,其人工智能模型在互联网赖以维持运转的多款核心工具中,发现大量重大漏洞,而所耗费的成本仅为Anthropic同类型模型Mythos的十分之一。

        Depthfirst联合创始人均拥有人工智能安全领域从业背景,曾任职于谷歌DeepMind、Databricks或Block。

        图片来源:DEPTHFIRST一个多月前,Anthropic发布AI模型Mythos,在网络安全圈引发巨大震动。

        该公司宣称,其模型技术极为先进,已在互联网核心代码中找出数十个高危漏洞。

        近日,网络安全初创企业Depthfirst表示,自家AI模型又发现了更多Mythos遗漏的漏洞,其中不乏可能影响绝大多数网民的关键性安全缺陷。

        Depthfirst首席执行官卡西姆·米萨尼(Qasim Mithani)称,由于公司针对单一任务优化了模型,花费1000美元就能完成Mythos耗资1万美元才能实现的检测工作。

        今年3月,Depthfirst完成8000万美元融资,估值5.8亿美元。

        公司还推出“开放防御计划”(Open Defense Initiative),为企业和开源开发者提供500万美元服务额度,供他们利用其AI工具检测自身代码漏洞。

        这一模式与Anthropic有限度开放Mythos的做法相似——

        后者起初仅向近50家企业开放模型权限,不过目前正逐步扩大开放范围。

        Depthfirst在开放模型使用权限方面不会厚此薄彼,但会审核申请者资质,初期优先面向代码应用广泛、或部署在关键基础设施中的开源开发者。

        米萨尼认为,将技术封闭起来、仅向少数合作方开放的做法并不可取。

        他表示,如今黑客也已掌握高性能AI工具,防御的一方必须动用一切可用手段,方能防范网络安全灾难。

        “如果攻击者也在使用这类AI模型,大概率也能达到和我们相近的效果。这正是我们担忧所在,也是我们推出这项开放计划的初衷。”

        网络攻防本就是一场由来已久的猫鼠博弈,而AI正急剧加快这场博弈的节奏。

        业界寄希望于AI能大规模且高效挖出安全漏洞,提升互联网整体安全水平。

        但网络不法分子早已开始利用AI牟利。谷歌于5月11日发出预警,称有犯罪团伙借助AI研发零日漏洞攻击工具,专门攻击尚未被发现、暂无官方修复补丁的安全隐患。

        Anthropic也曾声称有境外情报人员利用Claude对科技企业及政界人士发起网络攻击。

        修复可能被利用的程序漏洞因而变得愈发紧迫。Depthfirst此次在全球部署最广泛的网页服务器NGINX中发现高危漏洞,全球近三分之二的热门网站均依托该服务器运行。

        米萨尼向《福布斯》透露,该漏洞自2008年起就潜藏在NGINX代码中,这意味着过去18年间,所有搭载NGINX服务器的系统都存在被攻击风险。

        “这是很严峻的事情,毕竟大半个互联网都建立在它上面。”

        他表示,NGINX的维护方F5 Networks将于本周晚些时候发布修复补丁。

        F5公司首席产品官库纳尔·阿南德(Kunal Anand)未就该漏洞置评,但很乐见AI找出漏洞,因为这项技术具备规模化检测能力。

        “这彻底改变了安全行业的格局。安全研究人员、工程团队以及开源系统维护者都会如虎添翼,因为AI能够大规模追踪代码执行路径、挖掘人工难以察觉的边缘异常场景,能力远超个人或传统团队。安全漏洞其实一直都客观存在,但如今我们拥有了更强大的排查工具。”

        米萨尼团队的AI模型还在开源操作系统Linux中发现同级别的严重漏洞,黑客可利用该漏洞在运行Linux的设备上执行恶意代码。

        目前漏洞尚未完成修复,Linux基金会暂未对此作出回应。

        Depthfirst的模型还找出了谷歌Chrome浏览器的多处漏洞。

        谷歌已证实相关漏洞的存在,并完成全部修复。这些漏洞被评定为高危等级,一旦被利用,黑客可通过恶意网页发起网络攻击。

        此外,Depthfirst的模型还在开源多媒体处理软件FFmpeg中找出12个Mythos未能识别的新漏洞。

        FFmpeg是互联网音视频处理的核心底层工具,Netflix、YouTube、Instagram、Facebook、Spotify等众多主流平台的视频服务均依赖其搭建。

        并非所有人都相信AI能大幅改善互联网安全。参与维护FFmpeg的让-巴蒂斯特·康普夫(Jean-Baptiste Kempf)向《福布斯》表示,即便不用AI,也能轻松找出这款软件的漏洞,并补充说:“发现漏洞并不难,难的是拿出稳妥完善的修复方案。”本文译自:https://www.forbes.com/sites/thomasbrewster/2026/05/12/ai-finds-critical-vulnerabilities-that-anthropic-mythos-missed/文:Thomas Brewster翻译:Lemin福布斯中国独家稿件,未经许可,请勿转载关注《福布斯》微信公众号精彩资讯永不错过▽长按图片扫码下载福布斯中文版APP 
🔗 原文链接:http://mp.weixin.qq.com/s?__biz=MzIwODU2NjQ5Mw==&mid=2247678863&idx=2&sn=de14a0aed1637db1842e2076aef6eb8a&chksm=9682b14309bbc054bab89e5e919ab9f359875471722302f3dcfa5f3c225cbbd08053737a141e
← 返回列表