三月底,當時代號為「Capybara」的前沿模型Claude Mythos因文件外洩意外曝光,掀起一波資安焦慮。
六月初,趨勢科技旗下的企業資安事業群「TrendAI」成為目前世界上少數取得Mythos存取權的業者之一,這對台灣企業來說有何意義?
Claude Mythos有什麼不一樣?
簡單來說,Mythos在生成程式碼、進行推理的能力提升,讓它能以超越人類駭客的效率與速度,去發掘現有軟體安全漏洞,甚至能串接多個漏洞、生成攻擊程式碼,發動大規模攻擊。
有鑒於Mythos在「幾乎所有主流的作業系統與瀏覽器」中發現大量嚴重安全漏洞,Anthropic決定暫不釋出Mythos,轉而啟動緊急防禦計劃「Project Glasswing」。
除了趨勢科技外,Project Glasswing第一波合作夥伴包括Apple、Google、AWS、微軟、輝達等企業巨頭、資安廠商、開源軟體維護單位,以及美國政府等50多個單位。
在Computex尾聲、6月5日舉行的記者會上,趨勢科技執行長暨共同創辦人陳怡樺透露,在集結多國政府代表的國家安全會議上,各國都在積極建設AI基礎建設,在鞏固AI主權的目標中,資安也是不可輕忽的環節。
先進模型結合資安知識才能形成資安防線
在記者會上,數位發展部部長林宜敬表示,第一波合作夥伴大多為美國公司,完全沒有台灣業者。「我遇到美國官員時,就跟他們說,『你們一定要保護台灣。』
林宜敬說,「台灣是AI的硬體強權。如果台灣資安被攻破,對美國、對全世界的民主國家來說都是很大的災難。」
陳怡樺也表示,趨勢在獲知此計劃後,便持續向Anthropic解釋,許多AI基礎建設的關鍵業者都是客戶,「我們必須要有最先進的前沿AI來保護。」
Anthropic在6月擴大計畫規模,納入15國、近150家涉及電力、通訊、醫療等關鍵基礎建設的企業組織,趨勢科技也在此時成為Glasswing一員。
Anthropic網路安全合作夥伴關係負責人Robert Bair解釋,Anthropic提供的是以安全與可靠性為核心的先進模型能力,「但一個模型無論多強大,它本身終究不是防禦。」
Bair指出,模型不了解各企業的網絡,當資安攻擊發生時,也無法在凌晨時分陪在客戶身邊應對。因此趨勢科技的資安專業知識及與客戶的信任關係,是任何演算法都無法取代的人際連結。
「將最先進的模型交到最有經驗的防禦者手中,」Bair說,「這是我們的合作關係,也是我們的承諾。」
抓到漏洞不表示能修補?AI資安攻防戰關鍵在「時間」
趨勢科技專攻「AI資安」的新事業群TrendAI在3月成立,4月宣布與Anthropic展開策略合作,將Claude模型嵌入平台。合作主軸包括強化AI威脅研究、驅動AI原生資安營運(包括代理式工作流),以及全球市場推廣。
5月,趨勢導入Claude Opus 4.7,並正式加入Anthropic的「網路安全驗證計畫」(Cyber Verification Program),取得在防禦場景使用前沿模型的授權;6月再升級到Opus 4.8。雙方合作已涵蓋從AI系統與基礎架構的弱點發掘,到營運回應的生命週期。
陳怡樺透露,目前在AI資安研究與營運上,最有感的差異在於「時間縮短」。趨勢科技主掌Trend Zero Day Initiative漏洞懸賞計畫超過20年,對安全漏洞補強歷程有多年經驗。即使如次,過去從發現漏洞、廠商修補到客戶部署,是一段至少數個月的漫長過程,但未來可能只需要在幾分鐘內完成。
面對Mythos等級的前沿模型現身,趨勢科技台灣區暨香港區總經理洪偉淦對《數位時代》解釋,發掘安全漏洞是一件耗力費時的任務;相對地,AI可以不計價值、不用休息地大規模掃描,才會感覺「一下子挖掘出這麼多漏洞」。
洪偉淦認為,影響範圍大、且已遭到實際攻擊的漏洞,應該優先處理。來不及修補的情況下,趨勢也有行之多年的「虛擬修補」(virtual patching)服務,可先應急擋住攻擊,爭取修補時間。
對於尚未取得Mythos存取權的企業,Anthropic亦有Claude Security可檢視企業軟體漏洞,並建議修補程式。
除了服務硬體客戶,趨勢科技也在Computex期間推出「TrendAI Inception Program」,助力台灣AI新創提升自家產品的安全性。
陳怡樺看好AI軟體將為台灣AI產業拉出下一波成長曲線,而安全性正是獲得客戶信任的基石。
長期來說,洪偉淦認為AI模型能力提升,有助於軟體公司推出安全的產品。他也對「好人用AI做防禦」抱持樂觀態度。
隨著AI工具讓資安攻防戰更加嚴峻,社會已逐漸認知到,「資安的重要性不會降低,只會升高。」
責任編輯:李先泰
