Anthropic放寬Mythos漏洞共享政策,合作夥伴可互通資訊

5月18日,Anthropic改變了政策——之前使用Mythos發現的漏洞,合作夥伴只能內部處理;現在可以互通有無,還可以告知監管機構、媒體甚至公開發布。

這項改變雖然看似微小,但對Mythos整個計畫的邏輯是一次重要修正。

原本的政策是封閉的

Mythos於4月7日發布——是Anthropic利用Claude訓練出的專門用於攻擊發現的模型,能掃描常見軟體,找出尚未被發現的漏洞。

它並未直接公開銷售,而是透過Project Glasswing這個受控計畫運作:選定40家公司參與,包括Amazon、Microsoft、Nvidia、Apple等巨頭。設計初衷是控制擴散——一個能找出漏洞的AI若被濫用,反過來會成為攻擊工具,因此Anthropic希望嚴格限制使用範圍。

原本的協議條款中,合作夥伴掃出的漏洞只能內部處理。這就出現了一個尷尬情況:

Palo Alto Networks日前用Mythos掃描自家產品,一個月挖出75個漏洞,是平時正常速度的7倍。

如果Palo Alto的發現無法告知他人,等於整個產業的安全水位只在Glasswing內部提升。其他公司可能使用著同樣有漏洞的產品,卻完全不知道問題存在。

現在改變了,能分享給誰

根據Anthropic發言人對路透社的說法:

「我們全力支持合作夥伴彼此分享發現,也支持與Glasswing以外的公司分享,以便進行漏洞分類與處理。」

合作夥伴現在可以將Mythos發現的漏洞資訊分享給:

  • Glasswing內部其他成員
  • Glasswing以外的公司(即受影響的廠商)
  • 產業組織
  • 監管機構與政府
  • 開源軟體維護者
  • 媒體
  • 公眾

前提是符合「負責任揭露」規範——簡單說就是給廠商一個修復窗口期,不能直接公開。

為什麼現在改變

這並非Anthropic主動想到的,而是被推動的。合作夥伴自己提出要求——他們擔心如果只有自己知道某個漏洞,反而會成為被針對的目標。

舉例來說,假設A公司用Mythos掃出某款主流資料庫的零時差漏洞,按照舊規則A只能默默修補自己的部署。但攻擊者只要看到A最近改了什麼修補程式,就能反推出漏洞在哪裡——然後A以外同樣使用該資料庫的公司,瞬間暴露在攻擊之下。

因此,這次政策鬆綁,本質上是把「防禦資訊」從私有商品變回公共物品。安全圈一直以來的共識就是如此:漏洞揭露要早、要廣、要協同。

還有一件事:監管機構也主動找上門

根據PYMNTS和BusinessToday的報導,另一個細節是Anthropic同意向金融穩定理事會(FSB)進行專門簡報,介紹Mythos的能力與發現。

背景是:4至5月Mythos發布後,央行總裁、鮑爾、貝森特都對這個工具感到擔憂(先前已報導數輪),亞洲和歐洲的金融監管機構也想測試但無法取得。現在Anthropic等於主動開了一道溝通管道。

這一步意味著什麼

把時間線拉長來看:

  • 4月7日:Mythos發布,封閉測試
  • 4至5月:Glasswing成員陸續揭露發現,央行感到震驚
  • 5月18日:政策逆轉,發現可以共享

短短40天,Anthropic從「嚴控擴散」走到「鼓勵分享」——這中間最關鍵的是,合作夥伴用實際數據證明了Mythos的攻擊發現能力是結構性領先,而非偶然。

下一步要看一件事:Glasswing是否會擴員。如果Anthropic把規模從40家放開到100家、200家,那麼這個計畫就從一個「展示用的精品試驗場」變成「產業基礎設施」了。

一個過去幾年沒人想過的問題,現在被Mythos逼到了所有大公司桌面上:如果你的安全團隊不用AI,對手用了,你怎麼辦?

參考來源:Anthropic to let partners share Mythos cybersecurity findings with others(Reuters via Investing.com / KFGO / CGTN);Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings(PYMNTS);Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned(BusinessToday);CocoLoop、Anthropic's Mythos Feature Enhances Cyber Threat Sharing(DevDiscourse)