AI 大模型的出現,令資安攻防進入前所未見的臨界點。理論上,其既可以被黑客利用,也能用作防禦,關鍵不在技術本身,而是誰能率先掌握、誰能制度化應用。這正是 Anthropic 推出「Project Glasswing:玻璃翼計畫」的核心矛盾所在:同一把極度鋒利的兵器,若落入攻擊者之手,足以令零日漏洞演變為系統性風險;若首先被防禦方掌控,則有望在危機爆發前修補多數漏洞。
在「AI 保安」成為熱門話題前,AI 已被廣泛視為駭客的新助手。從自動掃描弱點、偵測漏洞,生釣魚電郵、優化勒索軟體攻擊流程,AI 讓傳統駭客活動的門檻與成本急劇下降。Anthropic 的內部測試顯示,前緣模型 Mythos Preview 在「生成可用漏洞利用程式」方面的能力遠超一般模型,可於短時間內對多個系統生成可運作的攻擊程式。若此類模型落入不當之手,攻擊者不再需要精熟編程語言或逆向工程,只憑少量提示與測試環境,就能在複數系統中系統性挖掘漏洞,令傳統防禦失去時間優勢,形成極度不對稱的攻防關係。
Project Glasswing 的戰略重點是讓防禦方在「AI 能力尚未全面外溢」的短暫窗口期,搶先部署同級武器以防禦。該聯盟由 AWS、Anthropic、Apple、Google、Microsoft、Linux Foundation 等 12 家頂尖科企及逾 40 家關鍵軟體維護者共同組成,運用前沿模型 Mythos Preview 掃描作業系統、瀏覽器、雲端平台及大型開源專案,盡早修補潛在漏洞,防止被惡意利用。這種「以 AI 防 AI」的策略不僅可縮短漏洞發現與修復週期,減輕傳統資安團隊的人力負擔,亦透過 Anthropic 提供的 1 億美元模型使用積分及 400 萬美元開源資安補助,協助拉近企業與開源社群的防禦能力差距。若能成功制度化,將有助建立新一代「AI 驅動持續掃描+自動化修補」的安全框架,提升整體數碼生態的韌性。
Project Glasswing 計畫同時伴隨明顯風險與隱憂,首先是「權力集中」問題:如此高級別的模型目前僅授權給少數大型企業與機構,雖有助降低外洩風險,卻也進一步強化了「AI 能力」現象。中小企業與新興社群無取得類似等級的防禦工具,只能在未來的 AI 資安戰場上被動承受攻擊壓力。
其次是「雙重用途」的先天風險:即使 Anthropic 暫不公開發佈 Mythos Preview,並強調後續版本會加強防濫用機制,但一旦架構與技術細節被逆向或複製,攻擊者同樣可藉此訓練出專門用於攻擊的衍生模型。有分析指 Glasswing 本質是一場「時間與制度的賽跑」:若防守尚未普及防禦機制,攻擊者就已取得相近同級能力,計畫的戰略優勢便會被大幅削弱。
Project Glasswing 並非單純「AI 好或壞」問題,而是一場在攻防尚未完全失衡前,試圖以制度、合作與透明度,將高風險能力儘早導向防禦的戰略實驗。在這場自動化對自動化的戰役中,決定勝負的關鍵,並非誰能造出最強模型,而是誰能先建立「以 AI 防 AI」的長期框架與生態共識。
Francis Fong 方保僑
方保僑先生於資訊、通訊、科技及電子消費品市場工作超過二十年,引入過不少新科技產品,並創辦多個業界組職及為多個非營利機構擔任委員提供專業意見。現任香港資訊科技商會榮譽會長、香港互動市務商會創會及榮譽會長、香港消費電子產品聯盟創會會長、電子學習聯盟創辦人、世界資訊通訊與服務業聯盟董事、電訊事務管理局辦公室電訊規管事務咨詢委員會成員、運輸署智慧交通基金管理委員會委員、樂施會香港及樂施會澳門董事會成員、香港小童群益會資訊科技委員會委員、香港紅十字會資訊科技委員會成員,仁愛堂堂務行政委員會外界委員等。
