KeyFrame
提交影片
AI 技術

AI Just Found 10,000 Security Holes in Software You Use Every Day

Cipher Raven·6月3日週三·4 min中文

三句話摘要

Anthropic 的 Project GlassWing 計畫在一個月內透過 AI 模型發現超過 1 萬個真實漏洞,顯示 AI 正在重塑攻防雙方的速度與規模。 AI 已讓安全漏洞的發現速度提升到過去無法想像的規模,防禦窗口正在縮短,現在開啟自動更新與 MFA 是每個人最低成本、最高回報的一步。 AI 加速了漏洞發現的規模:過去需要大量時間的安全審計,AI 在一個月內完成了 10,000 個漏洞的識別,這代表防禦速度出現質的躍升,但攻擊方同樣能利用同等工具。

重點整理

重點
  • 1

    AI 加速了漏洞發現的規模:過去需要大量時間的安全審計,AI 在一個月內完成了 10,000 個漏洞的識別,這代表防禦速度出現質的躍升,但攻擊方同樣能利用同等工具。

  • 2

    WolfSSL 是供應鏈型高危漏洞:CVE-2026-5194 存在於廣泛部署於 IoT、車載系統與嵌入式設備的 TLS 函式庫中,因為專用硬體的韌體更新週期緩慢,修補傳播速度極慢,構成典型供應鏈風險。

  • 3

    AI 防禦已有實際戰果:合作銀行利用同款 AI 識別出社交工程(釣魚郵件偽造客戶通訊)所觸發的可疑匯款行為,成功攔截 1.5 億美元損失,這類能力過去不存在。

  • 4

    攻防窗口正在縮短:Anthropic 警告,目前只有少數受信任夥伴能使用這類強力模型,但很快將廣泛開放,意味著攻擊者也將具備相同的自動化漏洞搜尋能力,普通用戶的防禦窗口以週計。

實用技巧與重點

乾貨
  • 計畫名稱:Project GlassWing(Anthropic 發起)
  • 使用模型:Claude Mythos Preview
  • 測試夥伴數:約 50 名安全研究員
  • 發現漏洞總數:10,000+
  • 人工確認真實漏洞:1,700+
  • 高危或嚴重等級漏洞:1,100+
  • 已修補:97 個問題
  • 已公開 CVE:88 個
  • 關鍵漏洞:WolfSSL CVE-2026-5194,CVSS 9.1,影響 IoT / 車載 / 嵌入式設備的 TLS 函式庫,可執行身份偽造攻擊
  • 實際案例:夥伴銀行用 AI 攔截詐騙電匯 1.5 億美元(社交工程 + 郵件偽造手法)
  • 5 個立即行動建議:
  • 開啟所有裝置的自動更新(手機、電腦、路由器、智慧電視、遊戲主機)
  • 為電子郵件與銀行帳戶啟用 MFA(多因素驗證)
  • 詢問 IT 或設備廠商最後一次更新韌體是何時,若非定期執行則為警訊
  • 使用密碼管理員(可防止憑證自動填入釣魚/假冒網站)
  • 訂閱安全資訊電子報(如 Krebs on Security)

結論

結論

AI 已讓安全漏洞的發現速度提升到過去無法想像的規模,防禦窗口正在縮短,現在開啟自動更新與 MFA 是每個人最低成本、最高回報的一步。

完整解析

詳細

本月 Anthropic 公開了一項名為 Project GlassWing 的安全計畫執行成果。計畫約於一個月前啟動,核心做法是邀請約 50 名受信任的安全研究夥伴,讓他們搶先使用一款強力的新 AI 模型(Claude Mythos Preview),並將其部署在真實世界的設備、平台與服務中,專門尋找安全漏洞。這個構想本身並不複雜,但結果卻震驚業界:一個月內,系統識別出超過 10,000 個潛在問題,其中 1,700 多個經人工驗證為真實存在的漏洞,而在這些真實漏洞中,超過 1,100 個被評定為高危或嚴重等級。

其中最受關注的發現是 WolfSSL 函式庫的漏洞,編號 CVE-2026-5194,CVSS 評分高達 9.1。WolfSSL 是一個輕量級 TLS 函式庫,廣泛用於 IoT 設備、汽車車載系統與各類嵌入式硬體。這個漏洞允許攻擊者偽裝成使用者所信任的網站或服務,進而執行中間人攻擊或身份詐騙。更麻煩的是,這類設備的韌體更新週期往往以月甚至以年計,即便廠商已發布修補,實際到達終端設備的時間仍極為緩慢,形成典型的供應鏈安全問題。目前該計畫已完成 97 個問題的修補,並公開發布了 88 個 CVE 編號。

在防禦面,AI 工具已有具體的實戰效益。影片中提到一家合作夥伴銀行,運用同等級的 AI 模型分析通訊模式,成功識別出一起針對客戶的社交工程攻擊——犯罪者偽造客戶電子郵件,試圖騙過銀行執行國際匯款,AI 即時判斷出異常並攔截,避免了高達 1.5 億美元的損失。這類能力在過去幾乎不可能以如此低的延遲實現。

然而,Anthropic 本身也發出警告:這些強力模型目前只開放給少數受信任的合作夥伴,但很快將廣泛發布。這意味著攻擊者同樣能夠利用 AI 自動化地掃描漏洞、生成釣魚內容與設計攻擊鏈。目前防禦方領先的窗口以週計,而非以年計。因此,個人與企業現在能做的最有效行動是:立即開啟所有裝置的自動更新、為重要帳戶啟用 MFA、確認 IT 團隊或設備商有定期執行韌體更新的流程、使用密碼管理員以防止憑證被填入假冒網站,以及訂閱安全資訊電子報以掌握重大漏洞動態。

關鍵時刻

Pipeline v2

帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。

事實查核

Pipeline v2

說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。

更多「AI 技術」的內容

Claude Cowork vs Codex: 誰才是更好的AI工作助手?
16 min
AI 技術中文6月20日

Claude Cowork vs Codex: 誰才是更好的AI工作助手?

李厂长来了

  • 介面設計哲學不同:Codework 以標籤頁區分聊天、文書與程式碼三種模式,任務彼此隔離不混淆;Codex 則將所有功能整合在單一介面,減少切換成本,但頁面相對雜亂。
  • 第三方整合能力差距明顯:Codework 提供大量連接器並支援 Zapier 擴展,且可針對每個連接器精細設定讀寫權限(如 Gmail 只讀免確認、寫信需批准);Codex 的插件數量較少且缺乏同等級的權限控制機制。
  • 定時任務管理方式影響長期使用體驗:Codework 將同一自動化任務的歷史記錄歸類在同一條目下,便於追蹤;Codex 每次執行都獨立列出,隨任務增多左側欄會越來越臃腫,不利於長期管理。
看重點看原片
我贏得 NVIDIA GTC Taipei 2026 的金票啦!這 4 天展期會有什麼不一樣的體驗呢? | Computex 2026
編輯精選
28 min
AI 技術中文6月20日

我贏得 NVIDIA GTC Taipei 2026 的金票啦!這 4 天展期會有什麼不一樣的體驗呢? | Computex 2026

EngineerGary

  • Tokenomics 重新定義 AI 工廠價值:黃仁勛將所有輸出重新框架為 Token = Revenue,傳統工廠生產實體商品,AI 工廠改為生產 Token;對製造端而言,目標是以最低成本產生最多 Token,實現每投入 1 元帶回 3–5 元回報的商業邏輯。
  • 開源策略是市場放大器而非讓利:NVIDIA 釋出 Cosmos 3、Apomile 3 等開源模型,以及通用人型機器人,目的是降低新創進入自動駕駛、World Model、Physical AI 的門檻,擴大整體生態系規模,最終帶動更多算力與服務需求(「The more you buy, the more you earn」)。
  • Deal to Delivery Agent 解決中小企業流程瓶頸:Gary 團隊識別出企業收到客戶需求後,需跨工具手動完成報價、開票、GitHub issue、通知等重複性操作是最大效率殺手;Agent 自動拆解商機、建立 ERP 記錄並推送 Telegram 通知,人類只需在 Draft 狀態下做最終 Review 確認。
看重點看原片
黃仁勳親自欽點⁉️執笠手機公司 BlackBerry 變身 AI 機械人主系統🤖下一個大浪提前準備
編輯精選
30 min
AI 技術中文6月20日

黃仁勳親自欽點⁉️執笠手機公司 BlackBerry 變身 AI 機械人主系統🤖下一個大浪提前準備

Coco哥

  • QNX 擁有機器人 OS 三大不可替代技術門檻
  • Windows 響應延遲 200 毫秒,Linux 一旦核心崩潰全部失效,而 QNX 具備毫秒級即時決策、ISO 26262 ASIL-D 與 IEC 61508 SIL-3 最高安全認證,以及微型內核獨立架構(單一模組崩潰不影響其餘系統),三項條件同時達標,現階段競爭對手均未能複製。
  • 40 年護城河非短期可追趕
看重點看原片