真正的原因是,美国看到的不是一个AI产品,而是一种新的国家级战略能力。Mythos最可怕的地方是,它能自主找漏洞、分析漏洞、构造攻击链。这在网络安全里相当于什么?相当于AI时代的“网络核武器”。Fable是Mythos的民用“阉割版”。如果Fable被越狱,就意味着全世界都有可能获得Mythos的能力。这是美国政府最不能容忍的。它必须保证这个能力“人无我有”,形成绝对的战略资产垄断。
过去网络攻防有两个流派,一个叫密码派,一个叫漏洞派。密码派认为,只要加密足够强,口令拿不到,系统就安全。后来漏洞派改变了游戏规则:只要存在一个可利用漏洞,攻击者根本不需要破译密码,也能进入系统。所以漏洞就成了网络攻防的命门。过去西方网络强国都在搜集漏洞、购买漏洞,把漏洞当成重要的战略资产来管制。可以说,过去30年,网络安全本质上就是“漏洞大赛”。谁先发现漏洞,谁就能掌握网络战的主动权。
在没有AI之前,漏洞有一个致命特点:虽然很多,但极其难找。发现漏洞像挖金矿,难度高、成本高、周期长,结果还不确定。需要一批有特殊才能的专业黑客,长期对代码做分析、研判、测试。而且这件事没有规律,没有章法,不是努力就一定有结果。我们内部经常讲,挖漏洞像中彩票。今天中了一个,不代表下个月还能中。所以一个高质量的零日漏洞,在黑市上可以卖到百万甚至千万美元。过去30年,网络安全行业实际上就是建立在“漏洞难找”这个基础上的。这种稀缺性勉强维持了30年的攻防平衡。而Mythos的出现,彻底改写了游戏规则。
Mythos改变的第一件事,是速度。过去发现一个高价值漏洞需要几个月甚至几年,从发现,到分析原理,再改造成攻击武器,又要很长时间。Mythos直接把这个速度提升了100倍。它能在24小时内发现潜伏几十年的陈年漏洞,用6小时完成18个漏洞的验证,用12小时做出8款完整的攻击武器。这意味着,过去的“N日漏洞”正在变成“N小时漏洞”。可能补丁早上刚发布,中午AI就反推出了漏洞,下午完成验证,晚上开始利用。防御窗口也从几周压缩到几个小时。网络安全第一次从“人的速度”进入了“机器速度”。
第二个变化是,漏洞数量会大幅增加。过去很多漏洞不是不存在,而是没找到。一个安全专家一次只能研究一个目标,时间、精力和经验都有限,因此大量漏洞长期隐藏在代码深处,没被发现。但AI可以7×24小时持续分析代码,追踪数据流,开展地毯式搜索。未来几年,大量潜藏的历史漏洞、开源漏洞和供应链漏洞可能被集中发现,迎来一次前所未有的“漏洞大爆发”。
第三个变化,是挖掘漏洞的成本大幅下降。AI挖漏洞主要消耗的是算力。按照相关测算,Mythos挖出一个高价值漏洞,平均算力成本可能不到1000美元。过去发现一个高价值漏洞,往往需要投入大量专家资源,成本很高,现在AI用千元成本就能挖出来。这个变化非常可怕。当一件事的成本暴跌一百倍、一千倍,整个行业就会被重新定价。网络安全的商业模式、竞争逻辑都会被重塑。
第四个变化,是攻击能力的平民化。Mythos本来就是一个编程模型,它不仅能发现漏洞,还能自动编写攻击代码。据说Anthropic的研究人员一觉醒来,桌上就多了一份完整的漏洞利用程序。过去黑客一将难求,想培养一个黑客小组更是难上加难。现在通过知识蒸馏,可以把顶级黑客的作战经验复制出来。即使一个AI黑客只有人类专家的六七成功力,也架不住它可以被批量复制,瞬间生成千万个“AI黑客”投入战线。过去安全专家的工作,现在AI也能做了;过去掌握在少数国家和组织手里的能力,未来普通人借助AI也能拥有。这会让攻击门槛一落千丈。
这几个变化叠加,带来一个非常严重的后果,以前是核武器构成战略威慑,未来漏洞发现能力可能成为新的战略威慑。因为Mythos这种能力,既可以用于防御,也可以用于进攻。用于防御,可以提前发现自己的漏洞,及时修补。用于进攻,它能更早发现全球软件和关键基础设施中的未知漏洞,而对手并不知道你发现了什么,发现了多少。所以,最危险的已经不是某个漏洞本身,而是谁拥有持续发现漏洞的能力。
如果我们找不到有效的应对办法,中国网络安全就可能面临第二次“单向透明”。过去的单向透明,是敌暗我明。境外APT组织长期潜伏在我们的网络里,我们看不见。360花了20年解决这个问题。只要对方攻击程序进入中国核心网络,基本都能被发现、被捕获、被溯源。但Mythos一来,变成了敌快我慢、敌众我寡,新挑战也来了。你还在靠几个安全专家分析,对方已经复制出一批黑客智能体同时工作。天下武功,唯快不破。当AI能够快速、批量发现漏洞的时候,你在别人眼里就已经是透明的了。你以为系统很安全,实际上别人可能已经把你的漏洞看得清清楚楚。在攻击方眼中,你就像一个筛子,到处都是可以进攻的点。
360 这几年定了一个战略,叫“AI+安全”,核心就是用AI赋能传统安全。去年 ISC,我们提出All in Agent,也重点研发了两类智能体:一类是自动挖漏洞的智能体,一类是自动防御智能体。我们最近公布的“图龙锋”就是中国版的Mythos,拥有类似的漏洞挖掘能力。目前已经累计挖掘漏洞 3432 个,其中监管确认的有105 个,多个漏洞被国家漏洞库定义为高危漏洞。
360的答案是智能体路线。不在模型和算力上死磕,而是通过智能体来曲线救国。与其把所有能力押在一个超级大模型上,不如把模型能力、安全专家经验、安全数据、漏洞知识库等组织起来,形成一个协同工作的智能体系统。这不是退而求其次,而是充分发挥中国的工程化优势。美国有美国的特点,中国有中国的打法。我们用三张牌补齐了模型差距:攻防经验、智能体平台和多智能体蜂群。
美国把Mythos装进Glasswing联盟,优先保护自己的关键基础设施。中国也要有自己的安全协作体系,不能坐等风险爆发。所以,我们今天发起一个"磐石之盾"计划,感谢统信、麒麟、山石网科、海光、飞腾、金蝶、壁仞、移动云、宝兰德、达梦等老朋友首批加入。漏洞挖掘是战略能力,不能随意开放。所以,我们决定把"倚天屠龙"的能力先小范围开放给一批重点信创单位和关键基础设施单位试用。
(以上是演讲内容节选)
https://mp.weixin.qq.com/s/iGWPfRpEoA4eGHXoH4J5hA
图龙锋 需要几个实战案例来证明能力
Featured Collection
Popular Ranking
Popular Events
中文 
deepin deepin 
Copying folder - Not enough disk space? 
真正的原因是,美国看到的不是一个AI产品,而是一种新的国家级战略能力。Mythos最可怕的地方是,它能自主找漏洞、分析漏洞、构造攻击链。这在网络安全里相当于什么?相当于AI时代的“网络核武器”。Fable是Mythos的民用“阉割版”。如果Fable被越狱,就意味着全世界都有可能获得Mythos的能力。这是美国政府最不能容忍的。它必须保证这个能力“人无我有”,形成绝对的战略资产垄断。
过去网络攻防有两个流派,一个叫密码派,一个叫漏洞派。密码派认为,只要加密足够强,口令拿不到,系统就安全。后来漏洞派改变了游戏规则:只要存在一个可利用漏洞,攻击者根本不需要破译密码,也能进入系统。所以漏洞就成了网络攻防的命门。过去西方网络强国都在搜集漏洞、购买漏洞,把漏洞当成重要的战略资产来管制。可以说,过去30年,网络安全本质上就是“漏洞大赛”。谁先发现漏洞,谁就能掌握网络战的主动权。
在没有AI之前,漏洞有一个致命特点:虽然很多,但极其难找。发现漏洞像挖金矿,难度高、成本高、周期长,结果还不确定。需要一批有特殊才能的专业黑客,长期对代码做分析、研判、测试。而且这件事没有规律,没有章法,不是努力就一定有结果。我们内部经常讲,挖漏洞像中彩票。今天中了一个,不代表下个月还能中。所以一个高质量的零日漏洞,在黑市上可以卖到百万甚至千万美元。过去30年,网络安全行业实际上就是建立在“漏洞难找”这个基础上的。这种稀缺性勉强维持了30年的攻防平衡。而Mythos的出现,彻底改写了游戏规则。
Mythos改变的第一件事,是速度。过去发现一个高价值漏洞需要几个月甚至几年,从发现,到分析原理,再改造成攻击武器,又要很长时间。Mythos直接把这个速度提升了100倍。它能在24小时内发现潜伏几十年的陈年漏洞,用6小时完成18个漏洞的验证,用12小时做出8款完整的攻击武器。这意味着,过去的“N日漏洞”正在变成“N小时漏洞”。可能补丁早上刚发布,中午AI就反推出了漏洞,下午完成验证,晚上开始利用。防御窗口也从几周压缩到几个小时。网络安全第一次从“人的速度”进入了“机器速度”。
第二个变化是,漏洞数量会大幅增加。过去很多漏洞不是不存在,而是没找到。一个安全专家一次只能研究一个目标,时间、精力和经验都有限,因此大量漏洞长期隐藏在代码深处,没被发现。但AI可以7×24小时持续分析代码,追踪数据流,开展地毯式搜索。未来几年,大量潜藏的历史漏洞、开源漏洞和供应链漏洞可能被集中发现,迎来一次前所未有的“漏洞大爆发”。
第三个变化,是挖掘漏洞的成本大幅下降。AI挖漏洞主要消耗的是算力。按照相关测算,Mythos挖出一个高价值漏洞,平均算力成本可能不到1000美元。过去发现一个高价值漏洞,往往需要投入大量专家资源,成本很高,现在AI用千元成本就能挖出来。这个变化非常可怕。当一件事的成本暴跌一百倍、一千倍,整个行业就会被重新定价。网络安全的商业模式、竞争逻辑都会被重塑。
第四个变化,是攻击能力的平民化。Mythos本来就是一个编程模型,它不仅能发现漏洞,还能自动编写攻击代码。据说Anthropic的研究人员一觉醒来,桌上就多了一份完整的漏洞利用程序。过去黑客一将难求,想培养一个黑客小组更是难上加难。现在通过知识蒸馏,可以把顶级黑客的作战经验复制出来。即使一个AI黑客只有人类专家的六七成功力,也架不住它可以被批量复制,瞬间生成千万个“AI黑客”投入战线。过去安全专家的工作,现在AI也能做了;过去掌握在少数国家和组织手里的能力,未来普通人借助AI也能拥有。这会让攻击门槛一落千丈。
这几个变化叠加,带来一个非常严重的后果,以前是核武器构成战略威慑,未来漏洞发现能力可能成为新的战略威慑。因为Mythos这种能力,既可以用于防御,也可以用于进攻。用于防御,可以提前发现自己的漏洞,及时修补。用于进攻,它能更早发现全球软件和关键基础设施中的未知漏洞,而对手并不知道你发现了什么,发现了多少。所以,最危险的已经不是某个漏洞本身,而是谁拥有持续发现漏洞的能力。
如果我们找不到有效的应对办法,中国网络安全就可能面临第二次“单向透明”。过去的单向透明,是敌暗我明。境外APT组织长期潜伏在我们的网络里,我们看不见。360花了20年解决这个问题。只要对方攻击程序进入中国核心网络,基本都能被发现、被捕获、被溯源。但Mythos一来,变成了敌快我慢、敌众我寡,新挑战也来了。你还在靠几个安全专家分析,对方已经复制出一批黑客智能体同时工作。天下武功,唯快不破。当AI能够快速、批量发现漏洞的时候,你在别人眼里就已经是透明的了。你以为系统很安全,实际上别人可能已经把你的漏洞看得清清楚楚。在攻击方眼中,你就像一个筛子,到处都是可以进攻的点。
360 这几年定了一个战略,叫“AI+安全”,核心就是用AI赋能传统安全。去年 ISC,我们提出All in Agent,也重点研发了两类智能体:一类是自动挖漏洞的智能体,一类是自动防御智能体。我们最近公布的“图龙锋”就是中国版的Mythos,拥有类似的漏洞挖掘能力。目前已经累计挖掘漏洞 3432 个,其中监管确认的有105 个,多个漏洞被国家漏洞库定义为高危漏洞。
360的答案是智能体路线。不在模型和算力上死磕,而是通过智能体来曲线救国。与其把所有能力押在一个超级大模型上,不如把模型能力、安全专家经验、安全数据、漏洞知识库等组织起来,形成一个协同工作的智能体系统。这不是退而求其次,而是充分发挥中国的工程化优势。美国有美国的特点,中国有中国的打法。我们用三张牌补齐了模型差距:攻防经验、智能体平台和多智能体蜂群。
美国把Mythos装进Glasswing联盟,优先保护自己的关键基础设施。中国也要有自己的安全协作体系,不能坐等风险爆发。所以,我们今天发起一个"磐石之盾"计划,感谢统信、麒麟、山石网科、海光、飞腾、金蝶、壁仞、移动云、宝兰德、达梦等老朋友首批加入。漏洞挖掘是战略能力,不能随意开放。所以,我们决定把"倚天屠龙"的能力先小范围开放给一批重点信创单位和关键基础设施单位试用。
(以上是演讲内容节选)
https://mp.weixin.qq.com/s/iGWPfRpEoA4eGHXoH4J5hA