Anthropic Mythos安全AI或被用于突破GitHub防线
据慢雾(SlowMist)安全团队5月20日披露的最新分析报告,网络犯罪论坛流出的信息显示,攻击者疑似利用Anthropic公司开发的安全AI模型「Mythos」精准突破GitHub的内部防御系统,成功窃取约4000个核心内部代码库。
被窃内容涉及Copilot核心资产
据安全研究人员透露,被盗代码库涵盖了GitHub多项关键产品与技术:
- Copilot源码:GitHub核心AI编程辅助工具的完整代码
- CodeQL算法:代码分析引擎的核心算法
- Actions运行时:自动化工作流平台的关键组件
- 计费系统代码:涉及商业敏感信息
Mythos模型安全争议持续发酵
此次事件正值Anthropic旗下Mythos模型安全争议不断之际。据华尔街见闻报道,Mythos模型在宣布有限测试当日即遭未授权访问,暴露了其所谓"Project Glasswing"安全体系的漏洞。攻击者通过第三方承包商权限、数据泄露线索及侦查手段获取了模型访问能力。
彭博社此前报道也指出,这个被Anthropic形容为「过于危险不能公开发布」的顶级网络安全模型,在4月7日发布当天就被一个小规模Discord群组突破。
开源社区或受连锁影响
慢雾团队警告称,攻击者若对这批代码进行深度分析,可能对开源社区产生后续安全影响。由于Copilot等系统承载着全球开发者的核心工作流,一旦相关漏洞被利用,后果可能波及整个开发生态。
Anthropic方面尚未对此事作出官方回应,安全专家建议使用GitHub相关服务的开发者密切关官方安全公告,及时更新凭证并加强账户防护措施。