印度已开始使用Anthropic公司的Mythos AI模型对其政府和银行软件系统进行压力测试,这是一项旨在先于攻击者发现弱点的网络安全演练。目前正在进行的这些测试,标志着已知首个国家使用竞争对手的前沿AI模型来探查自身关键基础设施的案例。
对抗AI对手的压力测试
压力测试本身并不新鲜。各类组织会定期模拟攻击以检验防御能力。但引入像Mythos这样的AI模型则改变了游戏规则。Mythos由Anthropic开发,旨在比早期模型更擅长理解和生成代码,这使其成为模拟复杂网络攻击、发现人工测试员可能遗漏漏洞的强大工具。
印度的做法是向该模型输入政府及银行软件架构的详细信息。随后Mythos会尝试利用这些系统,探查加密、访问控制和数据处理方面的弱点。测试结果帮助官员确定哪些补丁需要优先处理,以及应在哪些环节加强防御投入。
为何聚焦银行和政府系统
银行与政府软件处理着国家最敏感的数据——财务记录、个人身份信息以及国家安全信息。任一领域遭入侵都可能引发连锁反应。这就是印度首先将压力测试集中在这两个领域的原因。这些测试并非表明已检测到具体威胁,而是一项主动出击、抢占潜在攻击先机的措施。
选择Anthropic模型而非其他,这一点值得注意。Anthropic一直以注重安全的AI公司定位,其Mythos模型内置了防止滥用的防护措施。印度将Mythos用于防御目的,符合公司的预期应用方向。Anthropic尚未就测试发表评论,印度政府官员也未提供测试范围或时间表的详细信息。
风险何在
如果压力测试暴露出关键漏洞,后果可能波及甚广。政府机构可能需要暂停数字化项目来修补系统。银行若需更新,可能面临短期服务中断。反之,若测试结果一切良好,则会增强人们对印度数字基础设施的信心——这一设施正通过Aadhaar与UPI等项目迅速扩张。
这些测试也引发了关于AI在国家网络安全中作用的疑问。使用一家公司的模型去测试另一家公司的系统,模糊了竞争与合作的界限。目前尚未决定是否公开测试结果,也不清楚其他国家是否会效仿印度的做法。
未解之问
最大的未知数是压力测试将持续多久,以及是否会扩大到政府和银行软件之外。官员们既未披露完成期限,也未说明正在测试哪些具体系统。但有一点明确:印度正押注于用AI对手来发现自身的弱点——赶在别人动手之前。
