RunSybil|美初創露破綻 呻AI攻擊佔上風
原文刊於信報財經新聞「CEO AI⎹ EJ Tech」
人工智能(AI)除了幫助用戶找出網絡安全漏洞並修補,也容易被不法分子濫用作網攻。科技媒體Wired報道,美國網安初創RunSybil的AI工具Sybil,去年11月掃描客戶系統時,意外發現一項嚴重漏洞,客戶部署的聯邦GraphQL配置錯誤,導致機密資訊外洩。
RunSybil聯合創辦人赫伯特沃斯(Ariel Herbert-Voss)認為,生成式AI已能處理極複雜的安全分析。RunSybil團隊警告,短期內AI強大的編程與操作能力,恐令網絡黑客等攻擊方佔上風。
學者:智能代理懂模擬侵略
美國加州大學柏克萊分校電子工程與計算機科學系教授宋曉冬(Dawn Song)指出,前沿AI模型的網絡安全能力,近幾個月出現「轉捩點」,關鍵在於兩大技術突破。一是模擬推理,讓模型能把複雜問題,拆解成步驟思考;二是代理(Agent)架構,使AI能主動搜尋網絡、執行工具,甚至模擬攻擊行為,讓AI代理以極低成本發現「零日漏洞」(Zero-Day Vulnerability,即尚未修補的安全漏洞)。
為了量化有關進展,宋曉冬團隊去年推出CyberGym基準測試,涵蓋188個開源專案的1507個已知漏洞。
結果顯示,2025年7月,Anthropic旗下Claude Sonnet 4能找出約20%漏洞,及至10月,Claude Sonnet 4.5已找出30%漏洞。然而,這種能力是雙面刃,同一套技術既可用於防禦,例如主動掃描並修補弱點,也極易被用來發動攻擊。
宋曉冬提出多項應對策略,首先讓AI更多協助防禦專家,提升檢測與反應速度。其次,前沿AI公司發布成果前,可與安全研究員共享模型,提早找出潛在漏洞並強化系統。長期解決方法是轉向「安全設計」(Secure-by-Design),利用AI生成安全度更高的程式碼,從源頭減少漏洞產生。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
