Cloudflare測試Claude Mythos,能串聯多個低風險漏洞形成攻擊鏈

來源:iThome | 2026-05-19 URLhttps://www.ithome.com.tw/news/175929

核心發現

Cloudflare 測試 Anthropic 資安模型 Claude Mythos Preview,發現其能:

  • 串聯多個低風險漏洞成完整攻擊鏈
  • 自行撰寫、編譯與執行 PoC 程式碼
  • 驗證失敗後,自動調整假設並重新嘗試

這種能力已更接近資深漏洞研究員,而非傳統自動化掃描工具。

背景

  • Claude Mythos:Anthropic 針對資安研究打造的實驗性 AI,主打漏洞分析、攻擊鏈推理、PoC 生成
  • Project Glasswing(2025年4月啟動):邀請 Cloudflare 等業者在受控環境測試 Mythos
  • 英國 AI 安全研究所(AISI)此前也曾測試

測試方法

  • 導入超過 50 個內部程式碼儲存庫(執行環境、邊緣資料路徑、通訊協定堆疊、控制平面、開源依賴)
  • 建立協調框架「Harness」:將漏洞搜尋、驗證、去重、可利用性追蹤拆分給多個 AI 代理人平行執行

安全邊界問題

  • 研究版模型未加入公開模型的額外安全限制
  • 模型有時拒絕產生示範攻擊程式,但換個說法又可能成功
  • 拒絕機制不穩定 → 不能單獨作為安全防線

企業因應建議

Cloudflare 認為不能只靠「更快修補漏洞」(跳過回歸測試反而引入新問題),應:

  1. 在應用程式前方加入防護機制
  2. 降低單一漏洞的橫向擴散能力
  3. 建立可同步部署修補的基礎設施,縮短漏洞揭露到修補期間的風險窗口

衍生頁面