資訊悅報 Vol.42｜Bitdefender: 當 AI 能在幾小時內攻破存在 20 年的舊系統，企業該如何從「信任軟體」轉向「監控行為」的實時零信任

媒體對 Anthropic《Mythos 紅隊報告》的報導，其發展軌跡可謂意料之中：先是聳動的標題，接著是從驚惶到不以為然的各種反應，卻鮮少真正探討這項研究實際揭示的內容。這一點值得糾正，因為《Mythos》所揭示的，主要並非關於人工智慧發現漏洞的故事。

Mythos Red Team 部落格（Anthropic Red Team 部落格，2026 年 4 月 ）詳細記錄了幾項零日漏洞。儘管 Mythos 發現的漏洞遠不止於此，但文中僅列舉了其中少數幾項。
負責任的披露（即在公開漏洞細節前先私下通知軟體供應商，以便給予他們時間發布修補程式）可避免公開尚未修補的漏洞細節。Mythos 發現的漏洞中，已修補的不到 1%。

以下這些有據可查的案例及其多樣性便是明證；而那些尚無法公開討論的數以千計的案例，則彰顯了其規模之龐大。

• OpenBSD，誕生至今已 27 年。
  OpenBSD 是一款以安全性為首要設計目標的作業系統。它常被用於運行防火牆、路由器及關鍵基礎設施，這類系統正是組織機構為了追求高度強化而特別選用的。
  Mythos 發現了一個漏洞，讓遠端攻擊者僅需連線至該系統，即可導致任何運行該作業系統的機器當機。這屬於一種「拒絕服務」（DoS）狀況：攻擊者雖無法藉此取得對該機器的控制權，但能使其離線。
  對防火牆而言，這是一個有意義的成果。Mythos 在一夜之間自主地發現了它。
• FFmpeg, 16 years old.FFmpeg誕生至今已 16 年。
  FFmpeg 是一款廣泛用於處理影音的函式庫。
  該漏洞是一種記憶體損毀漏洞（即程式將資料寫入不應寫入的記憶體區域，可能使攻擊者得以操控程式行為的一類錯誤），存在於某特定程式碼行中，而自動化測試工具已對該程式碼執行了五百萬次測試，卻未能偵測到此漏洞。
  「紅隊」部落格並未針對此漏洞賦予超越記憶體損毀發現之外的具體影響；重點在於偵測的難度。五百萬次嘗試。十六年。
  一位模特，一場拍攝。
• FreeBSD NFS, 17 years old, CVE-2026-4747.FreeBSD NFS，存在 17 年之久，CVE-2026-4747。
  這是目前已知最嚴重的案例。NFS（網路檔案系統）是一種允許電腦透過網路共享檔案的協定。
  此漏洞允許未經身份驗證的遠端攻擊者，即先前未曾存取該系統的攻擊者，以完全的 root 權限執行任意程式碼。root 權限意味著對該機器擁有完全的控制權。
  Mythos 完全自主地開發了這項漏洞利用程式，採用了一條由 20 個小工具組成的 ROP 鏈（這是一種利用記憶體中現有程式碼的片段來構建攻擊，而非注入新程式碼的技術），並將其分散在多個網路封包中。沒有免責聲明。也沒有測試框架的限制。
  針對真實目標的有效漏洞利用。
• Linux kernel, local privilege escalation.Linux 核心，本地權限提升。
  第四種情況是一種鏈式漏洞利用，可讓攻擊者從普通的無特權使用者帳戶取得對整台機器的完全控制權。
  權限提升是指某個程序獲得其初始啟動時未具備的更高系統存取權限，這正是 Mythos 在此處透過鏈式競態條件（一類結果取決於哪個操作先完成的漏洞，攻擊者可操縱該時序）及 KASLR 繞過技術所自主運用之手法 （KASLR 核心位址空間佈局隨機化，是一種防禦技術，透過隨機化作業系統在記憶體中放置自身程式碼的位置，以增加攻擊的難度；繞過此機制是一項重大的技術成就）。
  這需要先在目標機器上取得立足點，但一旦取得，便能完全控制整個系統。

這些並非新的漏洞，它們早在 Mythos 之前就已存在，該模型只是發現了原本就存在的事物。

我在閱讀 Mythos 報告時，想到的是 fuzzing 的發展歷程。Fuzzing 是一種自動化測試技術，透過向軟體餵入隨機或格式錯誤的輸入來找出當機與漏洞，粗略來說，就像不斷嘗試硬體設備上的各種按鍵組合，直到某個地方壞掉為止。當 fuzzers 首次大規模出現時，人們擔心攻擊者會利用它們，比防守方更快找到漏洞。事實上，他們確實如此。但如今 fuzzers 已成為關鍵的防禦工具：Google 的持續式 fuzzing 平台 OSS-Fuzz，已在攻擊者利用前，於開源軟體中找出數以萬計的漏洞。

Red Team 部落格也獨立得出相同的類比，指出 AFL 與其他類似 fuzzers「如今已是資安生態系中的關鍵組成」，儘管一開始也曾擔心它們會被攻擊者利用 (Anthropic Red Team blog, April 2026）。Mythos 類模型與 fuzzing 的關鍵差異在於速度。Fuzzing 花了數年才成為顯著的威脅向量；LLM 在這個領域的能力，則是以月為單位快速演進。Anthropic frontier red team 負責人 Logan Graham 表示，其他供應商在六到十八個月內就可能推出相近能力（Axios，2026 年 4 月）。

正確的論點應該是：不是「Mythos 具有獨特的危險性」，而是「這項能力將會無所不在，且擴散速度將比模糊測試更快。」

當 Opus 4.6 在 Firefox 中發現 112 個漏洞時，LinkedIn 曾對 Anthropic 先前針對 Firefox 的研究進行了廣泛報導。然而，那些技術性的免責聲明卻未被廣泛傳播。如今，Mythos 又重演了同樣的模式。這篇文章值得在此進行詳細說明。

漏洞是指軟體中的缺陷，一種程式碼錯誤，在特定條件下，可能使攻擊者得以執行本不該被允許的操作。而漏洞利用則是指實際運用該漏洞來達成特定目標的有效攻擊手段。
這是兩種不同的問題。找出漏洞已經很困難，而要編寫出能對付真實且設有防禦措施的目標、且確實有效的可靠漏洞利用程式，則難度更高。

在我們那場探討 AI 攻擊能力的線上研討會中，我們使用「半漏洞利用（half-exploits）」一詞來描述這些弱點，它們屬於有限的概念驗證，而非真正的攻擊武器 (Bitdefender webinar: WTH Even is an AI Attack).  。Opus 4.6 針對 Firefox 的研究，在很大程度上就屬於這一類別。

Mythos 在 Firefox 上的結果，則是在更高數量下帶有同樣的限制。Red Team 部落格中的原文但書是：「these exploits target a testing harness mimicking a Firefox 147 content process, without the browser’s process sandbox or other defense-in-depth mitigations.」。
Red Team 部落格中的確切免責聲明如下：「這些漏洞利用是針對模擬 Firefox 147 內容進程的測試框架，該框架未啟用瀏覽器的進程沙箱或其他深度防禦緩解措施。」現代瀏覽器會在多層隔離環境（沙箱）中執行網頁內容，這些環境專門設計用於限制漏洞即使被利用後所能造成的危害。 在現實世界中，要成功利用瀏覽器漏洞，必須串聯多個漏洞才能突破每一層防護。
Mythos 結果中的 181 個 Firefox 漏洞，是在未啟用這些防護措施的情況下進行測試的。與先前研究屬同一類別；數量卻多達 90 倍。

但 Mythos 的影響更為深遠。FreeBSD 的 NFS 案例並未附帶類似的免責聲明。這是一個針對真實目標的、完整且完全自主的遠端程式碼執行漏洞利用。沒有任何防護機制。也沒有移除沙箱。
此外，在 Firefox 的測試中，那條能同時突破瀏覽器渲染器沙箱與作業系統沙箱的四項漏洞鏈，代表著真正的技術能力提升，而不僅僅是漏洞數量上的增加。

Mythos 同時產生兩類結果：大規模的半有效漏洞利用，以及某些情況下真正有效的漏洞利用。正確的解讀並非「因此 Mythos 並不危險」，而是：從發現漏洞到成功利用之間的差距正在縮小，而在某些情況下，Mythos 已經完全消除了這道鴻溝。

在四月初發表的一篇文章中，我曾指出，目前人工智慧對防禦方比對攻擊方更有益處，而且我們現在能夠準確評估這一點，而非僅憑推測(The Hacker News, April 2026) 。開源的要求印證了這一評估：防禦方擁有外部攻擊者通常缺乏的原始碼存取權限、執行時背景以及行為基準。

這讓一個更迫切的問題浮上檯面：在哪些情境下，攻擊者已經能夠取得原始碼？開源函式庫是現代軟體供應鏈的基礎組件，而它們的定義就是公開的。

任何想要在廣泛使用的元件中尋找漏洞的攻擊者，其實早已擁有與 Anthropic 測試中展示 Mythos 能力時相同的完整原始碼存取權限。無需憑證、無需社會工程學手段、也無需內部人員的協助。
該程式碼對所有人開放，而「Mythos」級模型能夠自主地進行大規模分析。

目前還有一種互補性的攻擊途徑正逐漸受到青睞。
針對受信賴維護者的社會工程攻擊，能讓攻擊者獲得數百萬家組織所使用的套件的寫入權限,，對於無法直接存取原始碼的閉源或半開放專案而言，這正是攻擊者滲透受信賴發行管道的途徑。

2024 年的 XZ Utils 後門攻擊遵循了以下模式：先在廣為使用的壓縮函式庫中，耐心培養出受信賴的維護者角色，隨後在無人察覺的情況下，透過正常更新管道分發精心植入的後門(Bitdefender advisory, April 2024) 。 在 2026 年 3 月發生的 Axios 攻擊事件中，一名北韓國家行為者入侵了首席維護者的個人電腦以竊取其帳戶憑證，隨後發布了某個每週下載量超過 1 億次的函式庫惡意版本 (Bitdefender advisory, March 2026)  。

這兩條路徑並非相互對立的解釋，而是互補的方法，最終指向相同的結果。Mythos 級別的模型降低了在公開可用的開源程式碼中尋找漏洞的成本。
針對維護者的社會工程攻擊，能在那些原本需要額外步驟才能取得原始碼存取權限的專案中，為可信賴的套件取得寫入權限。這些案例的共同結論是：信任軟體並非可靠的安全策略。

「零信任」是一項廣泛應用於網路的安全原則：與其僅因流量源自企業內部網路就予以信任，不如無論來源為何，皆對每項連線進行驗證。此原則同樣適用於程序執行。
與其僅因某個程序來自已簽名且受認可的二進位檔就予以信任，不如在執行時驗證該程序實際在執行什麼。
任何開始建立意外網路連線、存取無故觸及的檔案，或執行記憶體中無對應磁碟檔案之程式碼的程序，無論其來源為何，其行為都值得仔細檢視。

Advanced Threat Control (ATC)「進階威脅控制」（ATC）會在執行期間持續監控進程行為，涵蓋超過 340 項行為特徵。ATC 已投入實際運作超過十年。這並非針對 Mythos 所採取的新對策。
這是一種在 Mythos 問世之前便已正確的架構，隨著 Mythos 級別功能的普及，其重要性也日益提升。

Axios 攻擊事件提供了具體的實證，我們的遠程監測數據顯示，在受感染的套件發布至 npm 六分鐘後，系統便首次偵測到 ATC 活動，並在任何公開報導將 Axios 與此次攻擊事件聯繫起來之前，便已成功阻止了 Windows 端點上的執行。

ATC 處理的是惡意程式碼執行時會發生什麼情況。但在這之前還有一個層面：程式碼執行後能觸及哪些部分？

這種被稱為「就地取材」的手法，出現在我們對 70 萬起資安事件的分析中 84% 的高嚴重性攻擊中（Bitdefender 研究報告，2025 年 6 月 ）。 這些工具因具備正當性，預設即被視為可信。由於多數使用者能存取的權限遠超實際所需，導致攻擊面極為龐大。

在此處也應遵循相同的「零信任」原則：與其僅因某項工具在資源配置時已被授予，就認定其適合該使用者，不如驗證每位使用者實際使用的內容，並限制其餘所有項目。
這與群組原則或 AppLocker 等靜態白名單機制不同，後者是根據管理員對使用者需求的假設來進行限制。
動態行為分析會觀察使用者實際執行的程式，並針對每位使用者及每台機器限制其餘程式，並隨著行為的演變而進行調整。

PHASR（主動強化與攻擊面縮小） 是根據觀察到的行為來制定存取限制，而非基於管理層的假設。
受感染的程序所繼承的權限範圍大幅縮減：僅限於該特定使用者在該特定機器上實際使用的工具。PHASR 在漏洞利用程式執行前便已縮小其影響範圍；ATC 則在程式執行時偵測其行為。
這兩種情況都不需要該漏洞已被發現、已修補，或已在任何地方有相關紀錄。

Mythos 針對終端安全所提出的問題，並非在於傳統安全控制措施是否仍具價值，而在於哪些層級的重要性較以往更為關鍵。
邊界控制、修補程式管理以及基於簽名的偵測，並不會因人工智慧輔助的攻擊而變得過時，而是作為獨立策略時，已顯得力有未逮。

Mythos 帶來的改變在於經濟層面：發現漏洞並開發利用程式變得更快、更便宜，且越來越多過去無力為之的行為者也能輕易取得這些能力。這使得攻擊者在每個層級的能力上限都隨之提升。
行為偵測與動態攻擊面縮減，能讓攻擊者在每個防禦層級的成功難度隨之提高。隨著人工智慧能力的提升，這種關聯性非但不會減弱，反而變得更加重要。