文/鄭久慧
4月中旬,伊朗法爾斯通訊社曾報道,在美軍襲擊該國中部伊斯法罕省期間,伊朗大量美製通訊設備突然故障失靈,受影響的是美國著名通訊品牌思科 (Cisco)、資訊及網絡安全供應商飛塔 (Fortinet) 與瞻博網絡 (Juniper Networks)。
德黑蘭方面稱此次設備故障發生得極其可疑,是在美軍襲擊發生時同步癱瘓的,值得注意的是當時伊朗早已「斷網」,根本沒連接國際互聯網網絡,據伊朗網絡安全專家分析這些設備可能遭受了深層次的惡意破壞,涉及即使無外部網絡指令也能啟動的隱藏「後門」(Backdoor)。
美國軟件設有「後門」的傳聞一直甚囂塵上,此類「後門」程式一般被認為是在開發時就預留了,方便繞過正常安全防禦機制(如驗證、密碼)而能訪問、存取、控制系統的途徑,當然官方並不承認;亦有可能是程序研發時的漏洞或程式錯誤(bug),可能造成電腦安全隱患,常被黑客利用,乘虛而入。
若屬程序研發的漏洞,越早發現,越快修復,當然越好,但美國政府似乎並不樂見,如此一來更側面作實了美國軟件設有「後門」。事緣由OpenAI的前成員創立的美國人工智能企業Anthropic PBC,在今年初推出先進人工智能模型「克勞德神話」(Claude Mythos),以極強的網絡安全攻防、邏輯推理與自主編碼能力,能夠在短時間內自動識別主流軟件系統中先前未被發現的安全漏洞,堪稱網安界的「核武器」。
首先,根據Anthropic官方測試文件「System Card: Claude Mythos Preview」第4.5.4.1節,描述了「克勞德神話」如何篡改代碼,從而獲得修改程序的權限,在這個過程中亦會激活程序的「後門」漏洞,令其無所遁形。其次,「克勞德神話」成功找出號稱全球最強的操作系統之一OpenBSD的漏洞,須知過往27年幾乎沒有頂級程序員找出過任何OpenBSD的BUG。更勁爆的是,所有視頻播放器底層都會用到的FFmpeg,是一組被人類測試超過500萬次都認為完美無瑕的代碼,竟然也被「克勞德神話」找出一個藏了16年的漏洞。
「克勞德神話」的高成功率獲得英國人工智能專家級別的CTF網絡安全評估確認,據《紐約時報》披露,英國是美國以外唯一獲得「克勞德神話」測試權限的國家,由英政府資助的人工智能安全研究所對「克勞德神話」進行了詳盡測試,並於5月初發布了一份獨立評估報告,證實這個AI模型能夠執行先前任何其他模型都無法完成的複雜網絡攻擊,英國人工智能與網絡安全部部長Kanishka Narayan甚至在社交媒體上直言:「這代表着人工智能網絡能力的一次飛躍。」
按照特朗普那套「美國優先」(America First)的思想模式,主張美國利益高於一切,有了這套「克勞德神話」,豈不是如虎添翼,人工智能新科技本來就應該被用來保衛美國和其他民主國家,並擊敗所謂「專制」對手。事實正好相反,白宮竟然收緊AI監管,將「克勞德神話」列為高網絡安全風險及國安風險,暫不允公眾試用,然而事實是白宮給自己開了「綠燈」,正透過「玻璃翼計劃」(Glasswing)允許特定大型科企使用,藉以提升防禦性網絡安全能力。
美國官方這種「不准百姓點燈」的做法,背後意味昭然若揭。美製設備與軟件確實人為地設有隱藏「後門」,「克勞德神話」神通廣大,一旦容許民間隨便用,豈不是很快就把「後門」都曝光出來了,到時候美國不僅失去了戰爭時先發制人的機會,更可能引來環球商業索償,沒人敢用美國貨。所以最好方法就是白宮自己先用「克勞德神話」掃一掃「後門」,然後研發更難以被發現的……「狗洞」。
回到本港,美西方國家研發出強大的人工智能模型「克勞德神話」,未必能惠及本港,反而可能帶來國安風險。上月底美國聯邦通訊委員會(FCC)以涉及國家安全風險為由,全票通過取消中國內地及香港所有實驗室為輸美電子裝置進行認證的資格。換言之,西方社會壁壘分明,去年十月FCC亦曾以政治理由,啟動程序擬撤銷香港電訊在美的營運權。
近日筆者發現政府部門的通訊設備仍在使用美製產品,當中包括紀律部隊。因應百年未見大變局,地緣政治矛盾日益激化,應對「軟件後門」這一國安風險須保持警惕,未雨綢繆。
收藏
取消收藏
分享
