Health-ISAC警告Claude Mythos壓縮醫療產業漏洞修補時間窗口

Health-ISAC於2026年5月警告,Anthropic的Claude Mythos Preview AI資安模型能自主發現並利用零時差漏洞,正在壓縮醫療健康產業從漏洞「發現」到「可被利用」的時間窗口,帶來前所未見的資安風險。

背景

Claude Mythos在Project Glasswing計畫下,已在近50個合作夥伴環境中發現逾三萬個漏洞(確認率90.6%)。Health-ISAC的報告聚焦於此能力對醫療產業的潛在衝擊,特別是在漏洞修補時間壓力上。

主要威脅面向

雙面刃能力

  • 受控環境下可協助防禦方快速找出弱點
  • 若工具外流,可能成為攻擊者強力武器
  • 前例:Cobalt Strike、Brute Ratel等合法資安工具遭大規模濫用

Discord洩漏事件

Bloomberg報導某Discord私人社群宣稱已取得Claude Mythos Preview存取權,Anthropic正在調查。

中國競品威脅

  • 預估6~12個月內,中國企業可能發展出接近Claude Mythos的能力
  • 360 Digital Security Group於2026年天府盃奪冠,AI系統宣稱辨識近1,000個漏洞
  • 2026年中至下半年恐透過Hugging Face等平台擴散

現行管控

Anthropic透過Project Glasswing採KYC嚴格審查,僅提供給經過完整審查的組織。

對醫療產業的建議

  1. 優先順序排定:依漏洞可利用性、系統外部暴露程度決定修補順序
  2. 自動化流程:建立可重複執行的自動化修補、測試與緊急變更流程
  3. 補償性控制:無法即時修補時,透過網路分段降低風險
  4. 將修補管理視為核心防禦工作,而非行政流程

關聯概念

相關實體

來源文章