Anthropic 公司虽然在周四才发布了其最新的大语言模型 Claude Opus 4.6,但该公司已经在幕后使用它来识别开源软件中的零日漏洞。
在试验中,Anthropic 将 Claude 部署在虚拟机内,为其提供了最新版本的开源项目访问权限,以及一系列标准工具和漏洞分析工具,但没有提供如何使用这些工具或如何具体识别漏洞的指导说明。
尽管缺乏指导,Opus 4.6 仍成功识别出了 500 个高危漏洞。据公司博客文章显示,Anthropic 工作人员正在验证这些发现,并将在向开发者报告漏洞之前确保大语言模型没有出现幻觉或报告误报。
"AI 语言模型已经能够识别新颖的漏洞,可能很快就会在速度和规模上超越专家级人类研究人员," Anthropic 表示。
考虑到其软件已经被用于自动化攻击,Anthropic 可能希望改善其在软件安全行业的声誉。
其他公司已经在使用 AI 来处理漏洞搜寻工作,这进一步证明了这种可能性。
但一些软件开发者被大量低质量的 AI 生成漏洞报告所困扰,至少有一家公司因为 AI 加速漏洞猎人的滥用而关闭了其漏洞奖励计划。
Q&A
Q1:Claude Opus 4.6 在漏洞识别试验中表现如何?
A:Claude Opus 4.6 在没有具体指导的情况下,成功识别出了 500 个高危软件漏洞。它被部署在虚拟机内,可以访问最新版本的开源项目和各种分析工具,但没有使用说明或具体识别漏洞的指导。
Q2:AI 漏洞检测会带来什么问题?
A:虽然 AI 能够快速识别漏洞,但也会产生大量低质量的漏洞报告,让软件开发者感到困扰。至少有一家公司因为 AI 加速漏洞猎人的滥用而关闭了漏洞奖励计划。
Q3:Anthropic 如何确保漏洞报告的准确性?
A:Anthropic 工作人员正在验证 Claude 发现的漏洞,确保大语言模型没有出现幻觉或报告误报,然后才会将这些漏洞报告给相关开发者。