英国电信已签约加入Anthropic的Project Glasswing,这是一项利用人工智能在攻击者利用之前发现软件安全漏洞的举措。此举将英国最大的电信运营商之一引入了一个旨在通过大型语言模型实现漏洞扫描自动化的项目。
Project Glasswing的目标
Project Glasswing是Anthropic将其生成式AI模型转变为代码审计员的努力。该AI不仅编写或总结代码,还经过训练以发现常见漏洞,如缓冲区溢出、SQL注入点和身份验证缺陷。通过加入该项目,BT获得了这些扫描工具的早期访问权限,并可能反馈发现以改进模型。
对于一家运营着覆盖数百万客户和企业的网络的电信巨头来说,自动化扫描具有明显的吸引力。手动代码审查既慢又昂贵。软件供应链现在包含数千个开源组件,每个都可能成为入侵的入口点。如果AI能在几分钟而不是几周内扫描代码库,那么从引入漏洞到编写补丁的时间可能会大幅缩短。
BT为何天然适合
BT的网络安全部门长期专注于保护关键国家基础设施。该公司运营着英国最大的私人网络之一,并为政府机构、银行和医疗保健提供商处理数据。其系统若遭入侵,不仅会影响电话账单,还可能扰乱紧急服务或金融交易。
总部位于旧金山的AI实验室Anthropic,即Claude模型系列的背后公司,已将安全作为其品牌核心。Project Glasswing是这一使命的一部分——构建能够防御其他系统的AI系统。让BT这样的电信运营商参与进来,为Anthropic提供了孤立实验室环境无法提供的真实世界部署数据和压力测试。
尚未公布推出细节
BT和Anthropic均未披露时间表、财务条款,或扫描工具将如何深度集成到BT现有安全管线中。也不清楚该AI扫描是否会作为服务提供给BT的企业客户,还是仅供内部使用。
已知的是:BT将参与该项目的研究阶段,贡献漏洞数据集和使用案例。这有助于Anthropic在大型电信网络中实际运行的代码上优化其模型——这类代码混合了遗留系统、第三方软件和定制基础设施。
监管与信任问题
使用AI扫描代码本身也带来一系列风险。如果模型标记了误报,工程师就会徒劳追踪。如果它遗漏了真正的漏洞,系统就会造成虚假的安全感。英国和欧洲的监管机构正在关注AI如何在关键领域部署,任何涉及BT网络的事件都将引起密切关注。
BT尚未说明该AI扫描是否会由独立第三方审计,以及计划如何处理将专有代码上传至Anthropic云端的隐私影响。随着合作的推进,这些问题仍然悬而未决。
