北京
AI攻破一個漏洞需要多久?Lyptus Research的最新數據是:3.2小時——正好是人類專家半個工作日的時間。
這家AI安全研究機構測了從2019年GPT-2到2026年最新模型的網絡攻擊能力,發現一條陡峭的上升曲線。模型每9.8個月能力翻倍,2024年后加速到5.7個月。GPT-5.3 Codex和Opus 4.6已經能在耗時3.1-3.2小時的攻擊任務上達到50%成功率。
更扎心的是開源模型的追趕速度。GLM-5只比閉源前沿模型落后5.7個月,意味著企業級攻擊能力正在快速"民主化"。
測試方法:不是玩CTF,是真刀真槍
研究團隊沒拿簡單的奪旗賽(CTF)糊弄事。他們自建了291個任務的數據集,找了10位專業紅隊成員校準完成時間和難度。測試覆蓋CyBashBench、NL2Bash、InterCode CTF、NYUCTF、CyBench、CVEBench、CyberGym七個基準。
被測模型陣容橫跨六年:2019年的GPT-2像個蹣跚學步的嬰兒,2024年的Claude 3 Opus和GPT-4o開始入門,2025年的o3、Gemini 2.5 Pro、DeepSeek V3.1進入實戰區間,2026年的新模型已經能獨立完成需要數小時分析的攻擊鏈。
具體任務包括:從CVE漏洞描述生成可利用代碼、在復雜網絡環境中橫向移動、針對特定防御架構設計繞過方案。這些不是題庫里的標準答案,而是需要實時推理的開放性問題。
scaling law的陰暗面:能力沒有道德開關
Jack Clark在通訊里點出了核心矛盾:AI是臺"萬能機器"。能幫生物學家做研究的系統,也能幫武器專家做研究;能找代碼漏洞做防御的,同樣能用來攻破系統。
Lyptus Research的發現驗證了這個直覺——網絡攻擊能力的scaling law和通用能力同步提升,沒有 lag。模型在代碼理解、長程規劃、工具使用上的進步,會1:1轉化為攻擊效率。
這對安全政策的挑戰在于:你無法通過"不教它黑客技術"來限制。只要模型學會了編程、學會了推理,攻擊能力就自然涌現。監管框架還在討論"是否該給AI裝剎車",而技術曲線已經飆到了需要"安全氣囊"的階段。
創業公司的AI采用悖論:用則生,不用則死
同一期通訊里還埋著另一個數據點。INSEAD和哈佛商學院的研究顯示,接受AI整合培訓的515家高成長創業公司,表現顯著優于對照組。
兩個發現放在一起看,構成一幅詭異的圖景:企業被迫加速采用AI以保持競爭力,同時AI本身正在成為更鋒利的攻擊工具。防御方和攻擊方在同一條技術曲線上賽跑,但攻擊方只需要贏一次。
Lyptus Research把數據集和代碼開源了。他們顯然希望更多人參與評估,但這也等于給攻擊者提供了能力對照表——"你的目標系統防御水平,對應模型哪個版本能攻破"。
GLM-5的5.7個月滯后窗口,是留給防御者的全部緩沖時間。問題是,你的安全團隊更新一次策略需要多久?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
