Discord用户未经授权获取Anthropic AI模型Mythos
据彭博社报道,一群在Discord上的业余技术爱好者通过分析Mercor公司数据泄露事件,并结合对Anthropic模型命名格式的推测,成功绕过权限限制,未经授权获取了Anthropic尚未公开的AI模型Mythos及其它未发布模型。
该群体通过研究Mercor公司数据泄露信息,推测出Mythos模型的在线位置,并利用其在Anthropic承包商任职所拥有的访问权限,最终获得了对Mythos及其他未发布模型的访问权。尽管该群体目前仅用Mythos构建简单网站以避免被发现,但事件暴露了AI模型访问控制的潜在漏洞。
与此同时,网络安全领域其他动态包括:Mozilla利用Mythos发现Firefox 150的271个漏洞;研究人员确认Fast16恶意软件可能早于Stuxnet用于针对伊朗核计划;Meta因虚假广告被起诉;美国FBI监控项目面临续期争议;以及中国科研机构被曝在阿里巴巴平台出售50万份英国健康数据等。
此外,公民实验室(Citizen Lab)发现至少两家商业监控公司通过利用SS7等电信协议漏洞,以三家小型运营商为跳板,对高价值目标实施位置追踪。美国司法部则宣布对两名中国籍男子提起诉讼,指控其管理位于缅甸和柬埔寨的诈骗园区,涉及人口贩卖和加密货币诈骗。
苹果公司本周发布iOS 26.4.2更新,修复了此前漏洞,该漏洞曾允许FBI通过iOS推送通知数据库获取Signal加密消息副本,即使Signal应用已被卸载。
编辑点评
此次事件凸显了AI模型在快速迭代与商业化过程中,其访问控制机制可能滞后于技术发展,为未经授权的访问留下缺口。尽管涉事Discord用户未进行恶意行为,但其成功绕过安全措施,暴露出模型发布前的权限管理存在系统性漏洞。这不仅威胁到AI公司自身的知识产权安全,也可能被恶意行为体利用,加速AI驱动的网络攻击工具链发展。
在全球范围内,AI安全已成为网络安全新前沿。从Mozilla利用AI模型发现浏览器漏洞,到北韩黑客使用AI进行诈骗,再到Fast16等早期恶意软件被重新发现,显示攻击者与防御者在AI领域的博弈日趋激烈。事件也反映出,即使在高度封闭的AI研发机构,其供应链安全(如承包商权限)也可能成为攻击跳板。
未来,AI模型的访问权限将面临更严格的审计与零信任架构要求。各国监管机构或需制定AI模型发布前的安全评估标准,类似生物安全等级。中国、美国及欧盟在AI治理上的分歧可能进一步凸显,特别是在数据主权、模型出口与跨境使用等议题上。此次事件或将成为推动全球AI安全框架发展的催化剂。