上周,一则引人注目的消息震撼了科技行业:Anthropic公司宣布不再对外发布其最新人工智能模型Claude Mythos Preview。这一决定源于该模型在测试过程中发现了数十年来未被注意的软件漏洞。这种情况促使Anthropic决定将Mythos的使用权限和高达1亿美元的额度分配给大约50家全球知名企业,包括科技巨头如亚马逊、苹果、微软和谷歌。
在这一宣布之前,已有开源的AI模型悄然开始寻找各种软件中的安全隐患。Anthropic的研究团队表示,业内其他团队大约需要六个月到一年半的时间才能开发出具有相似能力的产品。随着技术的进步,这些功能在网络安全领域造成的隐患也将迅速蔓延,可能会使从流媒体服务到在线银行的各种互联网服务面临风险。
如果不采取有效的应对措施,目前从人工智能编程工具中获益的个体和组织,可能最先遭到攻击。对此,放任不管只会加剧潜在的互联网危机。
新兴编程潮流
你或许熟悉“概念编码”这个词,它指的是用简单语言描述需求,而人工智能则能够将其转化为可运行的软件。这种方式让许多小企业主、医生或非营利组织的领导者在没有技术培训的情况下也能创造出应用程序。然而,这些应用的安全性往往受到忽视,随着人工智能技术的进步,潜藏的安全漏洞将变得更易被发现,并可能让他人轻易获取用户的数据,甚至完全控制其账户。
过往的安全保障
长期以来,互联网的安全性曾依赖于两种稀缺:编写软件的难度和发现漏洞的难度。程序员往往经过专业训练,且人数较少,而漏洞的发现同样需要专业技能和时间。因此,最严重的缺陷通常会被隐藏多年。然而,现在随着人工智能工具的普及,这种局面正在改变:人人都可以编写代码,不法分子同样也可能利用这些工具寻找到代码中的弱点,过去的安全屏障正逐渐崩溃。
不容忽视的是,许多现代软件应用都是建立在开源代码之上的。例如,FFmpeg等工具在背后默默支持着我们的在线视频传输,而这些软件的维护人员往往是根据爱好和兴趣来投入的。与大型科技公司在“玻璃之翼”项目中所开发的专有程序相比,这些开源项目的存在依赖于志愿者们的奉献。
漏洞的发现与隐患
Anthropic公司的Mythos工具在OpenBSD和FFmpeg中发现了多个隐藏多年的漏洞,这些问题在之前的安全工具中也曾被忽视。而这种情况同样适用于其他流行应用,包括Firefox浏览器,它的安全测试显示Mythos工具能够轻易地识别出数千个代码漏洞,这不仅可能导致勒索软件攻击,也可能使国家安全面临威胁。
除了对代码的扫描能力,Mythos还揭示了开发者之间长久以来建立的非正式信任关系的脆弱。长期以来,开发者愿意分享成果、协作修复漏洞,这是出于对社区的信任,而非经济回报,但如今这种信任也面临困扰。
值得一提的是,Anthropic已承诺向开源安全组织捐赠四百万美元,以帮助改善这一局面,这是业内公司中数额最大的捐赠。但这种改变并不足以解决根本的问题;如今最有价值的软件基础设施依然由无偿的志愿者维持,而从这些基础设施中获益的企业,却未必为其维护提供应有的支持。
未来展望
为了确保广泛的利益,所有使用开源代码的企业都应负起责任,加大对这些关键维护者的投资。除了资金支持,人工智能公司还应当把他们的工具和技术分享给这些致力于维护开源项目的开发者。正如对待道路和桥梁一样,开源基础设施也应获得作为公共资源应得的重视和投入。
对于那些首次尝试软件开发的用户,我们应该为他们提供安全、高效的开发环境。将安全性整合到现有的开发工具中,确保编写代码的AI在最大程度上也能保障代码的安全性。这不应被视为额外的功能,而应当成为基本标准。是时候采取行动,重新定义开发者的安全保护范畴。