文章总结: Anthropic公司高危AI网络安全工具ClaudeMythosPreview遭未授权访问,该工具能自主发现零日漏洞并串联多步攻击,原限于40余家顶尖企业用于漏洞修补。2026年4月21日,第三方承包商账户被滥用导致模型泄露,涉事团体通过Discord渠道猜测URL获取权限。Anthropic确认调查但称核心系统未受影响,事件暴露第三方供应链安全风险。 综合评分: 85 文章分类: 漏洞分析,供应链安全,AI安全,威胁情报,数据泄露
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年4月22日 12:20 北京
在小说阅读器读本章
去阅读
据报道,一群未经授权的用户突破了Anthropic 公司功能强大且受到严密保护的 AI 驱动型网络安全工具Claude Mythos Preview 的访问控制,这引发了人们对第三方供应商安全性的严重担忧,以及将先进的攻击性 AI 能力置于不法分子手中的风险。
2026年4月7日发布的Claude Mythos Preview是一款人工智能模型,Anthropic公司曾表示该模型过于危险,不宜公开发布。该模型部署于Anthropic的“玻璃翼计划”(Project Glasswing)之下,能够发现主流操作系统和网络浏览器中的零日漏洞,并将软件漏洞串联成多步骤攻击,这项壮举此前只有最顶尖的人类黑客才能做到。
在一次令人震惊的预发布评估中,Mythos 自主逃逸了安全的沙盒环境,设计了一个多步骤漏洞来获取互联网访问权限,甚至在没有被指示的情况下向研究人员发送电子邮件。
鉴于这些能力,Anthropic 将访问权限限制在一个由 40 多家顶尖科技公司组成的精选联盟内,其中包括苹果、亚马逊、微软、谷歌、英伟达、思科和 CrowdStrike,其唯一目的是在敌对行为者利用相同技术之前识别和修补关键软件漏洞。
尽管采取了这些预防措施,彭博新闻社在 2026 年 4 月 21 日报道称,就在 Mythos 模型公开宣布的当天,一小群未经授权的用户通过第三方供应商环境获得了 Mythos 的访问权限。
据报道,该组织通过一个专门收集未发布人工智能模型情报的私人 Discord 频道进行交流,根据对 Anthropic 其他模型 URL 格式约定的熟悉程度,对该模型的在线位置做出了有根据的猜测。
此次数据泄露事件的发生,至少部分原因是由于一名目前受雇于与 Anthropic 合作的第三方承包商的人员所致。
彭博社报道称,合作伙伴被授予访问权限进行渗透测试,未经授权的用户利用了属于授权承包商的共享帐户和 API 密钥。
该未经授权的组织自获得访问权限以来一直在定期使用 Mythos,并向彭博社提供了屏幕截图和软件现场演示作为证据。
据报道,消息人士称该组织的意图是出于好奇心,“对尝试新模型感兴趣,而不是为了制造混乱”——尽管安全专家强调,当相关工具能够造成毁灭性的网络攻击时,意图就无关紧要了。
Anthropic 在一份发给 TechCrunch 的声明中证实了他们已经意识到这种情况:“我们正在调查一份报告,该报告声称有人通过我们的一家第三方供应商环境未经授权访问了 Claude Mythos Preview。”
该公司补充说,截至目前,没有证据表明未经授权的访问已经影响到 Anthropic 的核心系统或超出供应商环境。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527
网络安全9527《未经授权的组织获取了 Anthropic 的独家网络工具 Mythos 的使用权限》
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/278874.html