守护全球软件安全的倡议 | Project Glasswing

中文العربية Deutsch English Español Français हिन्दी Bahasa Indonesia 日本語 한국어 Português Русский

Computing/SoftwareBusiness NewsInternet Technology

Transcript

00:00:00>> 大多数每天使用软件的人都不会思考漏洞问题。

00:00:04他们不会想到，如果他们所依赖的软件突然变得不那么安全，会发生什么。

00:00:12那是软件开发人员每天都必须面对的问题。

00:00:16[音乐]

00:00:19>> 软件一直以来都存在缺陷和漏洞，这并不新鲜。

00:00:23>> 对于普通人来说，漏洞在很大程度上并不是他们每天能察觉到的东西，

00:00:30因为一旦被察觉，它们就会被修复。

00:00:32>> 但偶尔也会出现具有严重影响的漏洞。

00:00:36>> 比如某个单一漏洞进入了许多产品或网站都在使用的共享软件中。

00:00:45这样一个问题就会在全球范围内被放大。

00:00:49>> 从历史上看，发现并修复漏洞一直是一个缓慢、耗时且昂贵的过程。

00:00:55>> 如果大语言模型（LLM）现在能够编写出媲美世界顶级开发者的代码，

00:01:04它也可以同样有效地用于发现漏洞并利用这些软件。

00:01:10>> 这些模型的能力正在提高网络安全的门槛，

00:01:16因为它们既能帮助防御者，也可能帮助对手。

00:01:23>> 我们最近开发了一个新模型，Claude Mythos Preview。

00:01:27在早期，我们就很清楚这个模型在网络安全能力方面将有显著提升。

00:01:33>> 这是一种加速的指数级增长，而在这种增长过程中，存在着一些关键节点。

00:01:40Claude Mythos Preview 是这一增长过程中的一个巨大飞跃。

00:01:45>> 我们并没有专门训练它来擅长网络安全。

00:01:48我们训练它是为了让它擅长代码，但作为擅长代码的副作用，它也擅长网络安全。

00:01:54>> 我们正在实验的模型，在识别漏洞方面基本和专业人员一样出色。

00:02:03这对我们有好处，因为我们可以更早发现并修复更多漏洞。

00:02:07>> 它有能力将多个漏洞串联起来。

00:02:10这意味着当你发现两个漏洞，虽然它们独立存在时可能并没有太大威胁，

00:02:16但这个模型能够利用三、四、有时甚至是五个漏洞来创建利用程序，

00:02:21通过这种序列操作实现某种非常复杂的最终结果。

00:02:24>> 我们认为这个模型能做得很好，是因为我们注意到它非常有自主性。

00:02:30它通常更擅长执行长期的任务，这些任务非常类似于

00:02:37人类安全研究人员一整天会做的工作。

00:02:42显然，像这样的模型能力如果落在错误的人手中可能会造成伤害。

00:02:46因此，我们不会广泛发布这个模型。

00:02:49>> 我们和其他公司都会开发出更强大的模型。

00:02:53所以我们确实需要一个应对计划。

00:02:56>> 这就是为什么我们要发起“翠凤蝶项目”（Project Glasswing），我们与一些组织合作，

00:03:02这些组织负责维护世界上一些最关键的代码，我们将模型交给他们，

00:03:06让他们研究如何利用此类模型来降低风险并保护每一个人。

00:03:12>> 通过先于他人向这些软件开发人员提供先进工具，这让我们所有人都有了集体领先优势。

00:03:22>> 它让我们能够发现以前无法发现的东西，并帮助我们更快地修复这些问题。

00:03:30>> 通过与合作伙伴协作，我们已经在几乎所有主要平台上都发现了漏洞。

00:03:36>> 我在过去几周内发现的漏洞比我这辈子发现的还要多。

00:03:41我们利用该模型扫描了大量的开源代码。

00:03:44我们首先针对的是操作系统，

00:03:48因为这些代码是整个互联网基础设施的基础。

00:03:52在 OpenBSD 中，我们发现了一个已经存在了 27 年的漏洞，

00:03:58我只需向任何 OpenBSD 服务器发送几段数据，就能使其崩溃。

00:04:05在 Linux 上，我们发现了许多漏洞，作为一名没有任何权限的用户，

00:04:11我只需在机器上运行一些二进制文件，就能将自己提升为管理员。

00:04:16对于每一个漏洞，我们都告知了实际运行该软件的维护者，

00:04:20他们随后进行了修复并发布了补丁，因此任何运行该软件的人都不再受这些攻击的威胁。

00:04:27>> 对于一名不辞辛劳维护软件的开发者来说，

00:04:30一个能帮助他们在代码被利用前发现并修复漏洞的模型，

00:04:38是一种无价的工具。

00:04:40>> 我们已经与美国政府官员进行了交谈，

00:04:43并提出与他们合作评估这些模型的风险，并帮助抵御这些风险。

00:04:50我们现在生活中的一切都依赖于软件。

00:04:55>> 软件在某种程度上吞噬了世界。

00:04:56我们模拟生活的方方面面都在数字领域中有所体现。

00:05:01>> 因此，我们的日常生活都建立在我们可以信赖这些支撑系统的基础上。

00:05:08>> 网络安全就是我们社会的安宁。

00:05:11>> 整个行业必须团结一致、共同努力，以帮助建立更好的防御能力，这一点至关重要。

00:05:19>> 没有哪一个组织能看清全貌并能独立解决这个问题。

00:05:22>> 这项工作不会在几周内完成。

00:05:26这将需要数月甚至数年的努力。

00:05:29但我确实希望，最终我们能让世界的软件、客户数据、金融交易，

00:05:38以及关键基础设施比以前更加安全。

Key Takeaway

通过发起的翠凤蝶项目（Project Glasswing），网络安全人员正利用具备自主漏洞串联能力的 Claude Mythos Preview 模型提前识别并修复操作系统等核心基础设施中存在数十年的安全漏洞。

Highlights

Claude Mythos Preview 模型在网络安全能力方面实现了指数级增长，其识别漏洞的水平已达到专业人员标准。

该模型具备极高的自主性，能够将三到五个独立的低威胁漏洞串联起来，构建复杂的最终利用程序。

翠凤蝶项目（Project Glasswing）通过向关键代码维护组织先行提供先进模型，旨在建立集体的防御领先优势。

技术团队利用该模型在 OpenBSD 中发现了一个隐藏 27 年的漏洞，攻击者仅需发送特定数据即可使服务器崩溃。

该模型在 Linux 系统中识别出多个权限提升漏洞，允许无权限用户通过运行二进制文件获得管理员权限。

为了防止模型能力被滥用造成社会危害，该高性能预览版本不会向公众广泛发布。

Timeline

大语言模型对网络安全门槛的提升

软件漏洞在全球范围内的共享软件中会被放大，导致广泛的破坏性影响。
传统发现与修复漏洞的过程存在缓慢、耗时且成本高昂的缺陷。
具备顶级开发能力的大语言模型既能强化防御能力，也可能被对手用于高效攻击。

大多数用户在日常使用软件时并不关注漏洞，但严重漏洞一旦进入共享软件，其负面影响会迅速蔓延。大语言模型的崛起改变了这一现状，因为它们编写代码的能力与顶级开发者相当，能够同时提升防御者和攻击者的技术水平。

Claude Mythos Preview 的核心安全能力

Claude Mythos Preview 在没有经过专门安全训练的情况下，通过代码能力的副作用获得了卓越的安全性能。
该模型能够执行原本需要安全研究人员整天处理的长期、自主性任务。
模型具备将多个看似无害的独立漏洞串联成复杂利用程序的序列化操作能力。

这种模型能力并非刻意培养，而是训练模型掌握高质量代码时的副产物。实验表明，该模型在识别漏洞方面已表现出与专业人员相当的水平，特别是在串联三至五个漏洞以实现复杂攻击目标方面表现突出。由于这种能力落入错误人手中具有高度危险性，因此该模型被限制发布。

翠凤蝶项目与核心基础设施防御

翠凤蝶项目将先进模型提供给负责维护全球关键代码的组织，以降低系统性风险。
研究团队利用模型扫描了作为互联网基础设施基础的开源操作系统代码。
所有通过模型发现的漏洞已提交给相关维护者，并完成了补丁发布。

通过先于潜在对手向软件开发人员提供先进工具，防御方获得了集体领先优势。在实际测试中，模型在过去几周内发现的漏洞数量超过了研究人员过往生涯的总和。具体的修复成果包括 OpenBSD 中一个存在 27 年的远程崩溃漏洞，以及 Linux 系统中允许普通用户提升至管理员权限的多个漏洞。

行业协作与数字安全愿景

开发者将这种能提前识别并修复漏洞的模型视为无价的辅助工具。
技术公司正与政府官员合作，共同评估并抵御新型模型带来的风险。
建立更强大的防御能力需要整个行业的长期协作，单一组织无法独立解决问题。

在软件全面渗透日常生活的背景下，网络安全直接关联到社会的安宁与金融、基础设施的稳定。通过数月甚至数年的努力，这种跨组织的协作旨在确保客户数据和金融交易比以往任何时候都更加安全。目前已开始与美国政府沟通，建立风险评估框架以保护数字领域的每一个环节。

Community Posts

如何将 LLM API 接入开源漏洞扫描以缩短安全审查时间

makedream15天前6520

Write about this video