本周早些时候,我们发布了Project Glasswing——这是我们紧急启动的项目,旨在利用最新前沿模型Claude Mythos Preview强大的网络安全能力,专注于防御用途。在我们的公告技术博客中,我们阐述了AI模型如何快速降低发现和利用软件漏洞所需的资源、时间和技能。

鉴于AI的飞速发展,我们也指出,类似能力水平的模型将在不久后广泛普及。在未来24个月内,许多长期未被发现的代码漏洞将被AI模型识别并串联成可用的攻击链。事实上,目前公开可用的低于Mythos级别的模型已经能够发现传统审查长时间未察觉的严重漏洞

幸运的是,这种趋势对防御者同样适用:攻击者利用AI加速攻击,防御者也能借助AI工具提升安全防护。本文基于我们安全团队和研究人员使用前沿AI模型保护真实代码库和系统的经验,提供安全建议和实用技巧,助力安全团队迎接AI驱动的网络安全新时代。

以下建议多为现有安全共识内容,我们根据实际观察到的控制措施有效性进行了优先排序。如果您的组织遵循SOC 2和ISO 27001标准,这些建议可直接映射到您已有的控制措施中。我们将随着Project Glasswing及合作伙伴的持续工作不断更新本指南。

当前应采取的措施

1. 及时修补漏洞

AI模型擅长识别未打补丁系统中已知漏洞的特征,能够将补丁逆向为可用的攻击代码,缩短补丁发布与攻击利用之间的时间窗口。

  • 立即修补CISA已知被利用漏洞(KEV)目录中的所有漏洞。该目录收录了确认正在被利用的漏洞,任何网络可达的漏洞应视为紧急事件。
  • 利用EPSS优先处理其他漏洞。EPSS提供每日更新的漏洞被利用概率,先修补KEV列表,再修补高于设定阈值的漏洞,帮助将数千个开放漏洞转化为可管理的修补队列。
  • 缩短互联网暴露系统的修补时间。建议互联网面向应用在攻击利用出现后24小时内修补,其他漏洞则在数日内完成。
  • 在风险可控的情况下,自动化补丁部署和重启流程,避免手动审批带来的延迟。

实用建议: 大多数云和操作系统厂商已提供补丁自动化功能,启用通常只需简单配置。针对容器镜像和依赖清单,开源扫描工具可作为持续集成步骤运行,并结合KEV和EPSS数据自动标注漏洞,方便优先级排序。

2. 准备应对大量漏洞报告

未来两年,您接收、优先处理和修复漏洞的流程将面临更大压力,需为更多供应商和上游补丁做好准备。

  • 预计漏洞发现数量将提升一个数量级。漏洞接收、分类和修复跟踪流程需跟上增长速度。若仍依赖电子表格和周会,难以应对。建议引入一定程度的自动化,同时保留人工审核以应对大量信息。
  • 检查开源依赖的安全性。大多数软件供应链依赖开源项目,而开源项目通常缺乏安全维护承诺。OpenSSF Scorecard可自动评估依赖的分支保护、模糊测试覆盖、签名发布和维护活跃度,帮助识别无人维护的包。
  • 对供应商提出同样要求。第三方风险管理流程应询问供应商如何应对加速的漏洞利用周期,及其自身代码扫描情况。

实用建议: 关注开源软件和第三方服务,评估漏洞代码的可达性。构建自动化流程,持续将软件更新推送至IT和生产环境,并通过回归测试确保快速部署的可靠性。

AI可助力:

  • 加速漏洞分类。前沿模型可去重历史漏洞,结合资产信息评估暴露风险,自动生成修复工单,预先定位受影响代码路径。
  • 检查依赖冗余。大型代码库常积累多个功能重复的库,增加攻击面。利用大语言模型分析依赖锁文件,识别重叠依赖及合并方案,通常一小时内完成,收益显著。
  • 自动化升级。前沿模型能生成补丁,配合漏洞报告验证修复有效性,自动接受上游补丁并验证升级不破坏测试或系统。
  • AI替代供应商。针对评分较低、维护不足的小依赖,考虑让大语言模型重新实现实际使用的功能代码。

3. 出货前发现漏洞

预防胜于治疗,应假设生产环境中的漏洞终将被发现,安全测试需提前进行。

  • 在持续集成管道中加入静态分析和AI辅助代码审查,针对高置信度漏洞阻止合并。若误报过多,应优化工具而非放弃检查。OWASP应用安全验证标准定义了三种不同严格度的测试通过标准。
  • 在持续交付管道中加入自动化渗透测试,模拟攻击者对预发布环境的扫描。
  • 保障构建管道安全。攻击者若能在提交与部署间注入代码,无需再寻找漏洞。SLSA安全框架提供分级方案,低级别确保构建产物对应提交,高级别实现构建过程可验证。
  • 采用安全设计原则。CISA的承诺包括默认多因素认证、无默认密码、透明漏洞报告,是合理的最低标准。
  • 新代码优先使用内存安全语言。大量严重漏洞源于内存安全问题,Rust、Go及托管运行时可避免。CISA、NSA和英国NCSC发布了内存安全路线图。现有C/C++代码无需重写,但新增代码应有充分理由。AI辅助重写也日益可行。

实用建议: 静态应用安全测试(SAST)工具支持CI集成,覆盖OWASP Top 10和语言特定规则,开源和代码托管平台(如GitHub的CodeQL)均提供。OpenSSF发布了可复用工作流,可生成SLSA 3级证明,采用门槛低于规范要求。

AI助力包括:

  • AI漏洞扫描。使用与攻击者相同类型的模型扫描自身代码和系统,提前发现漏洞。只需隔离代理、验证步骤和接入现有漏洞分类流程。若本节只实施一项,建议优先此项。
  • 补丁生成。前沿模型通常能针对SAST或扫描结果提出补丁方案,开发者只需验证而非从零编写。类似地,LLM可将自包含C模块迁移至Rust并附带测试,审查者验证等价性即可。

4. 发现代码中已有漏洞

补丁解决已知漏洞,但代码库中仍存在未知漏洞。长期运行的生产代码虽多次人工审查,但前沿模型分析往往能发现新问题。相关视频展示了此类效果。主动扫描可在攻击者发现前识别漏洞。

  • 按暴露度优先。优先扫描处理不可信输入、执行认证授权决策或可从互联网访问的代码路径。
  • 包含遗留代码。未纳入当前审查流程或原作者已离开的代码通常审查较少,收益最大。
  • 预留修复预算。模型扫描旧代码产生的漏洞较少,但真实率高,应安排工程时间修复。

实用建议: 选择一个互联网暴露且维护人员少的服务,扫描其输入处理和认证逻辑。隔离运行扫描代理并增加验证步骤,确保仅处理确认漏洞。完成一个服务的扫描可为更广泛项目估算成本。

5. 设计防范入侵

攻击者必然尝试建立立足点,需限制其可达范围。

依赖增加攻击难度(如额外跳转、速率限制、非标准端口、短信多因素认证)的措施,对能持续尝试的攻击者效果有限。建议采用硬件绑定凭证、短期令牌和不存在的网络路径等更坚固的控制措施。

  • 采用零信任架构。所有服务间请求均需认证授权,视同来自互联网。CISA的零信任成熟度模型和NCSC的零信任原则提供分阶段实施路径。
  • 访问绑定硬件身份而非凭证。生产系统和敏感工具仅允许管理设备访问,配合抗钓鱼的二次认证(FIDO2或密码钥匙)。凭证被盗不应单独获得访问权限。服务间调用也应基于硬件身份。
  • 按身份隔离服务。被攻破的构建服务器不应访问生产数据库,被攻破的笔记本不应触及构建基础设施。每个工作负载应携带加密身份,服务仅接受符合策略的调用。网络分段仍可减少影响范围,但仅为补充措施。
  • 用短期令牌替代长期秘密。静态API密钥、嵌入凭证和共享服务账户密码是模型辅助代码分析首要发现目标。应使用身份提供者签发的短期、权限有限令牌。

实用建议: 完整零信任是多年项目,但身份感知访问代理可在不改架构的情况下,为内部服务提供设备验证和多因素认证保护。各大云厂商均有原生方案,开源和商业替代品也适用于本地或多云环境。对于秘密管理,主流云均提供托管服务,迁移最广泛共享的凭证并定期轮换,有助推动整体安全改进。

6. 减少并清点暴露面

基于两个原则:你无法防御未知系统,暴露面越小,攻击面越少。

  • 维护最新的互联网暴露主机、服务和API端点清单。攻击者可自动侦察,清单准确度应不低于此。将这些系统纳入渗透测试和红队演练。
  • 退役无用系统。无明确负责人且遗留的服务通常也未打补丁。
  • 最小化服务暴露。默认拒绝网络入口,限制API暴露仅为实际所需。

实用建议: 互联网范围扫描索引公开可查,查询自身IP和域名可了解攻击者视角。云资产可利用AWS Config、Azure Resource Graph、GCP Asset Inventory等原生工具,关键在于查询和分析。

AI助力:

  • 剔除陈旧代码和系统。识别无调用且无流量的端点繁琐,AI模型擅长此类任务。结合代码库和流量日志,模型可列出无用端点并说明移除影响。
  • 自动化外部红队演练。让AI攻击代理从外部无凭证、无源码访问的条件下模拟攻击,识别可达资产、指纹识别并尝试建立立足点。此类自动红队能发现源代码扫描遗漏的隐患,如遗忘主机、暴露管理接口、默认凭证和配置错误。建议与清单刷新同步运行。

7. 缩短事件响应时间

补丁发布后数小时内可能出现利用,响应流程若需数天则过慢。以下建议助力加快响应:

  • 在告警队列前端部署模型。每条告警先由自动化模型初步调查,再交由人工处理。该“分类代理”具备只读SIEM访问和查询工具,能筛选需人工判断的告警。
  • 优先提升监控覆盖率和检测延迟。这两项指标AI自动化提升潜力最大,且在攻击窗口缩短时最关键。
  • 自动化事件记录。事件发生时,模型负责笔记、证据收集、并行调查和撰写事后分析,人工专注于遏制、披露和客户沟通。人工决策不应受限于可由AI完成的辅助工作。
  • 让模型驱动检测闭环。前沿模型可整合威胁情报、生成检测候选、追踪匹配并调优告警,实现端到端自动化。
  • 进行五起并发事件的桌面演练。传统演练假设周一出现单个关键漏洞,鉴于AI能力提升,应模拟同周内五起事件,全面检验响应能力。
  • 依据MITRE ATT&CK映射检测覆盖。ATT&CK定义攻击技术标准词汇,了解可检测与不可检测技术比泛泛提升更有价值,优先覆盖横向移动和凭证访问。
  • 预设紧急变更流程。生产补丁两周审批周期本身即安全风险,遏制措施(如下线服务、轮换凭证、阻断网络)也应提前明确授权和响应速度。

实用建议: 选取一条误报率高的告警规则,接入前沿模型进行结构化判定,连续两周与人工结果比对,若一致率可接受再扩展至其他规则。另可利用Atomic Red Team开源库,执行部分测试并核查日志检测效果,快速绘制覆盖图。

AI助力包括:

  • 100%覆盖的首轮分类。模型可调查所有告警(人工通常只看高危),生成结构化判定供人工确认、拒绝或升级。关键在于赋予模型最小工具集(查询、思考、报告),自主选择调查策略,并以运营指标衡量效果。
  • 事件记录与并行调查。事件期间,模型实时记录、时间戳证据、开展独立调查并撰写事后报告。虽不显眼,却是前沿模型安全应用中影响最大的场景。
  • 主动环境威胁狩猎。与漏洞扫描类似,模型可定期扫描配置错误和入侵迹象,配合外部攻击面扫描同步运行。

向他人提交漏洞报告的建议

若您扫描自身依赖、开源项目或供应商产品并向上游报告,报告质量决定是否被采纳。开源维护者已收到大量低质自动报告,许多开始忽视疑似AI生成内容。无信号的海量报告只会加剧问题,影响所有人。

报告应由人工核实并愿意署名后提交,具体要求:

  • 用通俗语言说明漏洞及影响。维护者应能从首段理解问题及其重要性,无需运行代码。
  • 详细说明代码路径。展示输入入口、错误处理及后果发生位置,区分真实漏洞与模式匹配。
  • 提供可运行的复现代码。可执行的概念验证或失败的测试用例比任何解释更具说服力。
  • 附上可接受的补丁。补丁显示报告者对代码库理解深入,能以项目规范修复问题。
  • 公开AI参与情况。若模型发现漏洞或起草报告,应在首行说明。维护者迟早会知晓,隐瞒反而损失信誉。
  • 尊重维护者判断。若被拒绝,应接受结果。合作态度比争论单个漏洞更重要。

实用建议: 发送报告前关闭编辑器,尝试凭记忆解释漏洞。若无法脱离模型输出说明,说明理解不足,不宜报告。

如果您没有安全团队

上述建议多假设有专职安全团队。若您是小型组织、独立开发者或开源维护者,同样风险存在,但行动更简单:

  • 开启操作系统、浏览器及所有支持自动更新的应用的自动更新。这是最有效且无需持续投入的措施。
  • 优先使用托管服务而非自建。让有安全团队的供应商管理数据库、认证和邮件,转嫁补丁责任。托管服务成本通常远低于一次安全事件损失。
  • 在支持的账户上使用密码钥匙或硬件安全密钥。短信验证码易被截获,密码易重复使用,硬件密钥不可被钓鱼。
  • 启用代码托管平台的免费安全工具。GitHub的Dependabot、秘密扫描和CodeQL对公共仓库免费,能捕获大量企业级工具能发现的问题,启用仅需几分钟。

如果您维护开源项目,请发布SECURITY.md,说明联系方式及预期流程。AI辅助扫描将带来更多漏洞报告,其中既有价值也有噪声。明确的接收流程有助区分,向善意报告者传递其努力不会被浪费的信号。

致谢

本文由Anthropic安全工程与研究团队成员撰写,包括Donny Greenberg、Jason Clinton、Michael Moore、Abel Ribbink和Jackie Bow,Jannet Park、Gabby Curtis和Stuart Ritchie亦有贡献。