往下拉回到首頁
蛤?AI 現在比頂尖駭客獵人還會找漏洞?Firefox 被挖出 271 個沒人知道的安全漏洞
industryrss

蛤?AI 現在比頂尖駭客獵人還會找漏洞?Firefox 被挖出 271 個沒人知道的安全漏洞

Mozilla: Anthropic's Mythos found 271 zero-day vulnerabilities in Firefox 150

欸你知道嗎,Anthropic 這間公司開發的新 AI 模型叫 Mythos,它竟然在 Firefox 150 裡面一口氣找到 271 個沒人發現過的安全漏洞。Mozilla 的技術長說這個 AI 的能力根本就跟全球最厲害的資安研究員一樣強,甚至有可能更猛。 簡單來說就是,以前都是人類資安專家在跟駭客比賽誰先找到漏洞,現在 AI 直接跳進來,而且一出手就是 271 個。這代表未來駭客可能還沒反應過來,漏洞就已經被修好了。但另一方面也有點可怕,因為這表示 AI 的能力真的已經強到可以做一些原本只有最聰明的人類才做得到的事。這對資安產業來說是好消息還是壞消息,說真的有點難講。

白話點評

AI剛剛在Firefox裡找到271個零日漏洞。各位資訊安全研究員,我們得聊聊。

Mozilla丟出一個超炸裂的消息:Anthropic新出的Mythos AI在Firefox 150裡發現了271個之前沒人知道的資訊安全漏洞。沒打錯,真的是271個零日漏洞,人類研究員全都漏掉了,結果被一個以機器速度運作的AI找到。Mozilla的技術長說Mythos的能力跟世界頂級資訊安全專家一樣強,聽起來很厲害對吧?但你想想這到底代表什麼——我們剛剛親眼看到AI變得比你花六位數薪水請來的人類更會找出能摧毀你公司的漏洞。這根本超扯。最恐怖的地方是:如果Firefox這種被全世界最多人檢查的瀏覽器都藏著271個隱藏漏洞,那你的程式碼裡面到底還有多少你根本不知道的問題?這不只是Firefox的事——這代表人類寫過的每一個軟體現在都可能被AI用你們幾十年沒想到的方式分析出漏洞。

結論人類獨自做資訊安全研究的時代已經結束了——趕快去anthropic.com學怎麼用AI漏洞掃描工具,不然等駭客先用就完蛋了。
9/10

Action

學習技巧
https://www.anthropic.com
EnterpriseAPIWeb
1聯絡Anthropic的企業團隊,討論怎麼用Mythos做資訊安全測試
2先在不重要的系統上跑一次試驗掃描,看看它的能力怎樣
3把AI找到的漏洞跟你現在用的資訊安全工具和流程比較一下
Before

花好幾個月請資訊安全研究員手工檢查程式碼,結果還是漏掉關鍵漏洞直到被駭客利用

After

AI在幾小時內掃完整個程式碼庫,在駭客動手前就找到幾百個零日漏洞

AI 怎麼看

資訊安全

high
你可以做什麼

趕快在你的關鍵系統上測試AI漏洞掃描工具,不然等你的競爭對手和駭客先用就慘了

重點是什麼

一次掃描就發現271個零日漏洞,AI根本把人類花好幾年才能做完的資訊安全研究壓縮成幾小時而已

為什麼要在乎

你那些花大錢請人手工滲透測試的預算現在根本沒用了

軟體開發

high
你可以做什麼

馬上把AI資訊安全掃描整合到你的CI/CD流程裡,再拖延下去就是在運送有漏洞的程式碼

重點是什麼

Firefox 150都藏著271個隱藏漏洞,你的程式碼裡面可能有幾百個你根本不知道的問題

為什麼要在乎

你寫的每一行程式碼現在都被AI檢視著,它看得到人類看不到的模式

這跟你的工作有關嗎

資訊安全研究員

整個會變不一樣
為什麼會這樣

Mythos這個AI已經跟世界頂級人類研究員一樣強,還能以機器速度掃描

你可以怎麼做

學著跟AI工具合作,不然你就會變成被AI取代的那個研究員

DevOps工程師

好消息
為什麼會這樣

AI漏洞偵測現在可以在程式部署前就抓到致命漏洞

你可以怎麼做

在你公司推廣AI資訊安全工具,當那個防止下一次資料外洩的英雄

漏洞賞金獵人

要注意
為什麼會這樣

AI一次掃描就找到271個零日漏洞,代表那些容易發現的漏洞快沒了

你可以怎麼做

專門找複雜的邏輯漏洞和商業邏輯問題,這些AI還搞不定

看原文 →

這些詞是什麼意思

Zero-day vulnerability(零日漏洞)
軟體製造商還不知道的資訊安全漏洞,根本沒有修補程式可用——就像你家裡有個你從來沒發現過的秘密門。Mythos一口氣在Firefox裡找到271個這種隱藏的門。
Mythos(神話模型)
Anthropic新推出的AI模型,剛剛證明它找資訊安全漏洞的能力跟頂級人類研究員一樣強,但速度快到不行——就是這個突破找到了那271個Firefox漏洞。
Bug bounty hunting(漏洞賞金獵人)
靠找軟體漏洞賺獎金的工作——一個剛被AI搞得天翻地覆的領域,因為AI可以同時掃描幾百個漏洞。

你可能也想看

蛤?ChatGPT 現在會根據你問的問題來偷偷投放廣告
產業看過了

蛤?ChatGPT 現在會根據你問的問題來偷偷投放廣告

欸你知道嗎,OpenAI 跟廣告公司合作,現在他們可以看你在 ChatGPT 裡面問什麼,然後就給你投放相關的廣告。比如說你問怎樣修水管,馬上就會看到水管工的廣告。這就像是 Google 和 Facebook 那套把你的搜尋紀錄拿來賣廣告的把戲,只不過現在發生在 ChatGPT 上面。說真的有點扯,因為你以為 ChatGPT 只是個幫你做功課的工具,結果人家根本在偷聽你問什麼。廣告公司說他們不會存你的提示詞啦,只是分析一下你的問題屬於哪一類,但你信不信就是另一回事了。簡單來說,ChatGPT 正在從一個有用的助手變成廣告投放機器,這也太猛了吧。如果你有付費用 ChatGPT Plus,可能要看一下這個會不會影響你。

Hacker News
9
蛤?Meta 現在偷偷看員工在電腦上幹什麼,用來訓練 AI
產業看過了

蛤?Meta 現在偷偷看員工在電腦上幹什麼,用來訓練 AI

欸你知道嗎,Meta 現在在美國員工的電腦上裝了一個叫「模型能力倡議」的監控軟體(MCI),會記錄你的滑鼠移動、點擊、打字,甚至還會偶爾截圖。簡單來說就是 Meta 在看你怎麼工作,然後把這些資料拿去訓練他們的人工智慧(AI),讓 AI 學會像人一樣操作電腦,最後目的就是自動化你現在做的工作。Meta 說啦這些資料不會拿來評估你的績效,但說真的有點扯,員工隱私的疑慮根本避免不了。這也太猛了吧,感覺以後工作都被看光光。

RSS
ChatGPT 的畫圖功能升級了!現在不只會畫圖,還會自己想、會排版、支援多種語言
產業看過了

ChatGPT 的畫圖功能升級了!現在不只會畫圖,還會自己想、會排版、支援多種語言

欸你知道嗎,OpenAI 最近把 ChatGPT 的畫圖功能大升級,推出了 ChatGPT Images 2.0。簡單來說就是,以前它只會幫你畫圖,現在它還會「思考」,可以在圖片裡加入多種語言的文字,而且還會自動排版設計。這就像是以前你只能請設計師畫圖,現在設計師還會幫你排版和配文字,一個人做三個人的工作。你可以用它來製作漫畫、海報、看板這些東西,說真的有點扯。最狂的是,這功能現在對所有人開放,連免費版的 ChatGPT 都能用,不用額外付錢。如果你有在用 ChatGPT 做創意工作,這個更新真的值得試試看。

RSS
Meta 要偷看你的滑鼠和鍵盤,用來教 AI 做事
產業看過了

Meta 要偷看你的滑鼠和鍵盤,用來教 AI 做事

欸你知道嗎,Meta 現在想要監控員工每天的滑鼠點擊和打字動作,把這些資料拿來訓練 AI。聽起來有點可怕對吧?但其實背後的原因滿合理的——AI 要學會做人類的工作,就得看人類怎麼做,但這種真實的操作紀錄超難蒐集。簡單來說就是,高品質的訓練資料(就是 AI 學習用的素材)現在非常缺,所以 Meta 乾脆直接從員工身上蒐集。這招確實有效率,但也有點扯——你的每個動作都被記錄下來訓練 AI,感覺隱私被侵犯了。這也反映出 AI 產業現在面臨的一個大問題:要訓練出真正有用的 AI,資料取得有多困難。

RSS