Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
La vulnérabilité a été exploitée en seulement 4 heures après sa divulgation, avertit une chronique de Bloomberg : l'ère de la « divulgation responsable » mythique est terminée.
Bloomberg Opinion 科技专栏作者 Parmy Olson 以 Anthropic 最强模型 Mythos 为引子,揭示一个更根本的资安危机:软体漏洞从公开到可被利用的时间,已从 2018 年的平均 771 天压缩至不到 4 小时。她在专栏中指出,真正的问题不是大银行能不能防守——他们有钱有人,挡得住——而是广大的中小企业在 AI 驱动的 agentic 攻击时代毫无防线,而 responsible disclosure 这套沿用多年的业界模式,也已在事实上宣告死亡。
(前情提要:英国 AI 安全研究所评测 Claude Mythos:能自主完成 32 步企业网络攻击模拟)
(背景补充:Coinbase、币安寻求接入 Claude Mythos 模型强化资安,最强 AI 能终结加密货币骇客?)
本文目录
Toggle
771 天,压缩成 4 小时。根据 zerodayclock.com 的追踪资料,软体漏洞从公开到可用攻击被建立的平均时间,在 2018 年是 771 天,现在已不到 4 小时。这是超过 4,600 倍的压缩——而这个数字,正是 Bloomberg Opinion 科技专栏记者 Parmy Olson 在其最新专栏中选择的开场冲击。
Olson 的专栏从 Anthropic 最新旗舰模型 Mythos 写起,但她在文中明确指出,Mythos 只是症状,不是病因。她认为,这波 AI 能力跃升真正唤醒的,不只是银行,而是所有依赖数位系统运作的组织——包括绝大多数根本没有意识到自身脆弱性的中小企业。
财政部长的一通电话,与最中立仲裁者的确认
Mythos 发布后数天内,美国财政部长 Scott Bessent 就召集华尔街领袖确认系统防护状况。Olson 观察到,这个动作为 Anthropic 创造了「invaluable publicity」(无价的宣传),同时也引发外界质疑:「谁能独家窥视其威胁性后代?」
Olson 在专栏中进一步提到,英国 AI 安全研究所(AISI)已取得 Mythos 的存取许可权。她称 AISI 为「the world’s top neutral arbiter of what counts as safe and secure AI」(全球最中立的 AI 安全仲裁者),并指出 AISI 的评估结论确认了 Mythos 部分炒作的合理性。
AISI 发现,Mythos 在复杂网络攻击任务上的表现强过 OpenAI ChatGPT 与 Google Gemini。但 Olson 同时指出 AISI 的一个关键限定条件:Mythos 对「weakly defended」(弱防守)或「simplified」(简化)系统才最具危险性。
这个限定条件,正是 Olson 整篇论述的转折点。
大银行不是问题所在
Olson 在文中写道,大型银行拥有全球最强的 IT 安全基础设施。Bessent 召集华尔街高层的动作固然引人注目,但她认为真正脆弱的不是摩根大通或高盛——而是「the much broader array of small and medium-sized companies」(广大的中小型企业群集)。
这些中小企业,才是骇客使用 AI 工具发动攻击的主战场。
Responsible Disclosure 的死亡
要理解为何情况如此紧迫,Olson 在专栏中回溯了业界沿用多年的「responsible disclosure」模式:资安研究者发现漏洞后,通知厂商并公开揭露,让使用者有时间打补丁,再让骇客看到细节。
Microsoft 的 Patch Tuesday 是这套模式的典型——每月固定发布安全更新。Barclays、Wells Fargo 等大型银行的 IT 团队,需要测试补丁、取得管理层签核、完成部署,整个流程往往需要数周到数个月。
Olson 指出,在生成式 AI 出现之前,这个流程运作正常——因为骇客要从漏洞细节推算出可用的攻击方式,同样需要很长时间。但她在文中点出,早在两年前,局面就已经改变:骇客只需把揭露细节贴进 ChatGPT,让它扫描 GitHub 上的类似漏洞 pattern,攻击工具几乎即时生成。
771 天压缩到 4 小时,这个数字背后的意义是:Patch Tuesday 的逻辑已经失效。Olson 在专栏中明确质疑:「whether ‘responsible disclosure’ is such a smart idea in the first place」(responsible disclosure 这个做法本身是否还合理?)以及「whether the process of patching flaws over weeks and months is now fruitless」(花数周或数月打补丁的流程现在是否已徒劳无功?)
Mythos 做得到人类顶尖骇客才能做的事
Olson 在文中进一步写道,Mythos 的独特危险性在于它可以「chain」软体漏洞,执行多步骤攻击(multi-step attacks)——这是以前只有高技能人类骇客才能操作的能力。
她用窃贼做类比:「像窃贼规划一系列入侵步骤——找到第一扇开启的窗,从里面解锁一扇门,然后关掉警报。每一步单独都不够,但加起来就能完全进入。」
这个能力在 agentic AI 出现后更显危险。Olson 提到,AI 公司近几个月为模型加上了代理能力(agentic capabilities),让模型可以独立采取行动。Anthropic 今年 1 月发布的 Claude Cowork,已能自动传送电子邮件、安排事项。对骇客而言,agentic 工具不只会找弱点,还会自动尝试各种攻击路径,直到成功为止。
Olson 的双面结论:Anthropic 有私心,但问题是真实的
Olson 在专栏结尾没有回避 Anthropic 的商业动机。她写道:「Anthropic’s disclosure of Mythos certainly benefits its own publicity efforts ahead of an initial public offering, adding to the mystique around the potency of its technology.」(Anthropic 揭露 Mythos 显然也有助于其 IPO 前的公关效益,增添其技术效力的神秘色彩。)
但她同时指出,这不能否定问题本身的严重性:「But it’s also forcing a much-needed reckoning over how the window of time between published IT flaws and their exploitation has effectively vanished.」(但这也迫使各方必须面对一个亟需处理的现实——软体漏洞从公开到被利用之间的时间窗口已经实质消失。)
Olson 观察到,甚至连华尔街都还答不出 responsible disclosure 该怎么办的问题。银行至少有人力和资金去推动近乎即时的补丁部署(near-real time patching)结构性改变。而 Olson 认为更大的问题是中小企业——需要同样快速行动,却需要市场目前尚无法提供的技术支援与监管协助。
动区此前报道过 Andrej Karpathy 针对个人数位安全提出的 15 步卫生清单,是个人层面的防守框架。Olson 这篇专栏处理的是组织层面的结构性危机:当漏洞从曝光到武器化只需 4 小时,整个建立在「你还有时间」这个前提上的资安生态系,已经需要重新设计。