Cloudflare測試Claude Mythos,能串聯多個低風險漏洞形成攻擊鏈
來源:iThome | 2026-05-19 URL:https://www.ithome.com.tw/news/175929
核心發現
Cloudflare 測試 Anthropic 資安模型 Claude Mythos Preview,發現其能:
- 串聯多個低風險漏洞成完整攻擊鏈
- 自行撰寫、編譯與執行 PoC 程式碼
- 驗證失敗後,自動調整假設並重新嘗試
這種能力已更接近資深漏洞研究員,而非傳統自動化掃描工具。
背景
- Claude Mythos:Anthropic 針對資安研究打造的實驗性 AI,主打漏洞分析、攻擊鏈推理、PoC 生成
- Project Glasswing(2025年4月啟動):邀請 Cloudflare 等業者在受控環境測試 Mythos
- 英國 AI 安全研究所(AISI)此前也曾測試
測試方法
- 導入超過 50 個內部程式碼儲存庫(執行環境、邊緣資料路徑、通訊協定堆疊、控制平面、開源依賴)
- 建立協調框架「Harness」:將漏洞搜尋、驗證、去重、可利用性追蹤拆分給多個 AI 代理人平行執行
安全邊界問題
- 研究版模型未加入公開模型的額外安全限制
- 模型有時拒絕產生示範攻擊程式,但換個說法又可能成功
- 拒絕機制不穩定 → 不能單獨作為安全防線
企業因應建議
Cloudflare 認為不能只靠「更快修補漏洞」(跳過回歸測試反而引入新問題),應:
- 在應用程式前方加入防護機制
- 降低單一漏洞的橫向擴散能力
- 建立可同步部署修補的基礎設施,縮短漏洞揭露到修補期間的風險窗口
衍生頁面
- cloudflare — 執行測試的CDN與資安公司
- anthropic — Claude Mythos 開發商
- Claude Mythos AI資安模型串聯漏洞攻擊鏈能力 — 核心事件概念