为 "神话 "做好准备的五个步骤

人工智能正在大规模地发现漏洞，这将使传统的防御系统不堪重负。 下面介绍如何建立一个为 Mythos 做好准备的安全组织。

Tenable 正在与 Anthropic、OpenAI 和其他人工智能领导者密切合作，将先进的人工智能集成到我们的Tenable One暴露风险安全管理平台，加速漏洞研究、修复自动化和主动网络防御。 在我们最近与这些前沿人工智能模型提供商的讨论中，有一点变得很清楚：这些模型在多个方面改变了游戏规则。 它们可以识别未修复的开源代码和复杂企业环境中的漏洞，而这些漏洞是人类研究人员几十年来一直无法发现的。

然而，这一突破带来了一个悖论。 Anthropic 的 Claude Mythos和OpenAI 的 GPT等模型在加快我们防御能力的同时，也提升了不良行为者的能力，使他们能够以机器速度发现漏洞并将其武器化。 它们还可能揭示出更多需要优先修复的漏洞。 

攻击者的攻击面扩大了。 它不再只是传统的基础设施，而是围绕人工智能本身的模型访问控制、身份授权和操作工作流。 无论是利用人工智能发现的零日攻击，还是直接针对人工智能训练管道的攻击，面临的挑战都是一样的：，你无法管理你看不到的东西，你也无法防御你不优先考虑的东西。

要在法律硕士时代茁壮成长，以下是今天要采取的五项关键行动：

1. 建立连续、确定的资产发现机制

您无法在尚未发现的资产中找到漏洞。企业必须实施确定性传感器（扫描程序、代理和被动监控器）作为基础，以维护每个数字资产的实时清单。 随着全球企业快速采用 AI，拥有对您所有 AI 资产的可见性（无论是影子 AI 还是经过批准的 AI）至关重要。

前沿人工智能的概率性质可能是不一致的，与之不同的是，你的发现必须是确定的。 您需要对网络中的内容进行合规性审查，以提供合规性和风险报告所需的 "基本事实"。

2. 超越传统的优先排序，实现无情的风险过滤

有了 Mythos 驱动的发现，预计在短期内漏洞披露量将以数量级增长。 CVSS 或 EPSS 等标准工具只能测量理论上的严重性或概率，会让你的团队淹没在噪音中。

Mythos 就绪程序利用机器学习，将 "60% 重要性 "的洪水缩小到造成实际风险的 1.6% 漏洞。 通过将人工智能发现的缺陷与攻击路径和业务重要性进行交叉比对，您可以确保您的团队正在修复真正通向皇冠上的宝石（包括人工智能模型本身）的漏洞。

3. 通过攻击路径分析化解有毒组合

攻击者不会孤立地看待漏洞。 他们在寻找一条路。 他们将一个小小的软件缺陷、一个配置错误的云桶和一个过大的身份权限串联起来，从而达到他们的目标。 在人工智能时代，暴露风险管理 就是要抢在对手之前识别出这些"有毒组合"。

人工智能基础设施的快速发展意味着每天都会形成新的攻击者路径。 而配置不佳的人工智能基础设施与传统 IT 基础设施的交集会产生强大的漏洞，从而被人利用。

利用攻击路径分析，可视化攻击者如何利用人工智能加速的漏洞来突破你的外围，并横向移动到你的人工智能训练数据或推理引擎。 如果关闭路径，漏洞就变得无关紧要。

4. 实施对抗性暴露风险验证 (AEV)

当 "提示到漏洞利用 "的窗口从数周缩短到数分钟时，理论上的安全就已经死了。 您必须实施对抗性暴露风险验证(AEV)，这是一个自动红色团队的持续循环。

通过定期根据MITRE ATT&CK框架对您的环境进行挑战，您可以获得您的防御系统如何抵御人工智能漏洞利用性的证据。 只有这样，才能确保您的事件响应计划不仅仅是一份文件，而是抵御 "神话 "驱动的入侵现实的可靠盾牌。

5. 通过代理修复治理人工智能暴露风险。

世界上增长最快的风险面是人工智能基础设施本身：模型、训练管道和拥有高级访问权限的自主代理。 现在，这些都是需要严格监控的高价值目标。

为了跟上威胁的速度，您必须部署代理式 AI 引擎（例如 Tenable Hexa AI），对这些暴露风险实施自动分类和修复。这实现了“机器速度防御”，即利用 AI 发现、标记和修补您的基础设施，速度与 Mythos 发现自身缺陷的速度相同。

结论

行动的窗口很窄。 在我们与国家网络总监办公室、云安全联盟和 Anthropic 的积极对话中，大家达成了明确的共识，即最低公分母的安全方法将不再足够。 这加强了传统网络安全机制的重要性，同时强调了在程序中建立自动化和高效系统的必要性。 希望不是策略。

我们必须使用同样的暴露风险管理原则来处理这种增加的发现量。 看到一切，无情地确定优先级，并以机器速度进行修复。 这就是 "神话 "准备就绪的含义。

要了解更多有关 Tenable 如何提供帮助的信息，还请阅读 Tenable 首席技术官 Vlad Korsunsky 最近发表的文章《克劳德神话》： 准备好应对董事会关于 Anthropic 最新人工智能模型的网络安全问题"。