当 AI 成为网络安全武器
Anthropic 的 Mythos 模型改变了安全领域。它们不仅能解释漏洞,还能在陌生的代码中发现并利用新的漏洞。
这种能力改变了攻击者与防御者之间的平衡。Anthropic 将不受限制的 Mythos 5 模型仅限于一小部分专家使用。公众使用的是 Fable 5,该版本设有安全防护措施,可以拦截高风险的网络安全提示词。
危险是真实存在的。一个能发现漏洞的模型对双方都有利。防御者将其用于自己的代码,而攻击者则将其用于他人的代码。
攻击者不会遵守安全防护措施。他们现在就在利用 AI 扫描旧的智能合约以寻找弱点。如果你发布的是具有价值的代码,你必须假设攻击者正在使用 AI 来寻找你的缺陷。
当前的防御策略存在缺陷。安全防护措施无法区分合法的审计和攻击。如果你的提示词看起来具有风险,AI 可能会在不告知你的情况下提供质量较低的回答。这使得面向公众的模型对防御者来说成了一个粗糙的工具。
我不会因为 AI 的出现而变得不那么谨慎。相反,我会变得更加系统化。以下是我的方法:
- 我会对自己的代码进行高强度的 AI 分析。我希望在攻击者发现漏洞之前先找到它们。
- 我将旧的或未经验证的合约视为高风险。自动化工具会首先针对这些合约。
- 我从不迷信 AI 给出的“一切正常”的结论。我仍然会进行人工审查,因为模型会遗漏一些东西。
AI 并不会让安全工作变得过时。它提高了标准。你必须假设攻击者已经对你的代码运行过模型了。
拒绝使用 AI 的审计师会处于劣势。你必须用配备了 AI 的防御手段来应对配备了 AI 的攻击者。在自己的代码上使用这些工具,了解它们的局限性,并保持人类的判断力。
不要因恐惧而反应。你应该通过先使用这些工具发现自己的漏洞来做出回应。
Optional learning community: https://t.me/GyaanSetuAi