发现站内的ctfer和各路大佬还是很多的,可以让志同道合的佬们聚一聚,方便互相交流,版主 创建 有待斟酌 点击以查看投票。 @ts2kk 4 个帖子 - 2 位参与者 阅读完整话题
没收到邮件,是不是把这个对话删了就行了 1 个帖子 - 1 位参与者 阅读完整话题
Anthropic 本周二正式向公众发布其最新模型 Fable,将其定位为内部高阶网络安全模型 Mythos 的“公共、受限版”,但这一产品很快在网络安全圈内引发争议。 多名安全研究人员和从业者在社交平台和社区发帖抱怨称,Fable 内置的安全护栏过于严格,几乎无法用于任何实际的网络安全相关工作。 根据研究人员的反馈,Fable 会拒绝“任何哪怕略微沾边网络安全”的请求,甚至包括看似无害的任务,例如帮忙阅读一篇博客文章。 研究人员 Valentina “Chompie” Palmiotti(现就职于 IBM X-Force)表示,Fable 会直接中止对话,并提示其安全机制已将该消息标记为涉及网络安全或生物学主题。 这些护栏的设计初衷,是防止模型被用于开发恶意软件、攻击或破坏软件系统,同时也限制其在生物学领域被滥用来辅助研发生物武器。 Anthropic 在今年 4 月推出 Mythos 时,选择通过名为“Project Glasswing”的计划,仅向少量企业和机构开放,意在借助该模型帮助保护关键软件和基础设施。 上周,Anthropic 又宣布将 Mythos 的使用范围扩展到 15 个国家的数百家机构,进一步推动这类高能力安全模型在关键行业落地。 不过,在 Fable 面向公众开放后,其“降配版”安全策略在专业用户中遭到强烈质疑,不少人认为实际体验与官方宣传存在明显落差。 长期从事网络安全工作的 Matt Suiche 表示,Fable 在判断请求是否与网络安全相关时表现得非常生硬。 他举例称,如果用户提出“编写安全代码”的需求,Fable 会倾向于将其视为网络安全工作,而非软件工程最佳实践指导,从而直接触发降级机制。 一旦触发护栏,Fable 会自动回退至能力更弱的 Claude Opus 4.8 来继续对话。 Suiche 认为,Fable 的判断逻辑看起来高度依赖关键词,“只要落在‘网络安全’语义场里的词,很容易就被安全系统拦截”。 尽管如此,Suiche 也对当前阶段的严苛设置表示一定程度理解,认为在这一早期阶段,厂商对模型施加更保守的安全阈值,在风险控制上更有保障。 他预计,随着 Anthropic 与新一代网络安全公司加深合作,这些护栏将会被不断优化和微调。 在他看来,相比一开始放得太松,导致潜在滥用风险失控,先“多拦一些”再逐步放宽限制,是更可接受的路径。 对 Fable 表达不满的不止一人。另一位研究人员在社交平台上吐槽称,“就连请求它做代码审查,也会触发安全护栏”。 有用户在 Reddit 的 Claude 相关社区分享经验,称 Fable 在面对安全审计、漏洞分析等请求时几乎“清一色拒绝”,严重影响其在专业环境中的实用性。 截至发稿时,Anthropic 尚未就这些反馈作出公开答复。 除了模型内部的自动护栏机制,Anthropic 还针对网络安全从业者设立了额外的准入程序——“网络安全验证计划”(Cyber Verification Program)。 只有通过该计划审核的用户,才能在更少限制的条件下,使用 Claude 进行网络安全工作。 类似地,OpenAI 也推出了名为“Trusted Access for Cyber”的项目,为合规的网络安全实践开放更多模型能力。 这些做法反映出前沿模型公司在推进 AI 赋能网络安全的同时,仍试图通过审核制度与技术护栏双重手段,平衡能力释放与滥用风险。 查看评论
美国网络安全巨头CrowdStrike近日警告称,中国相关黑客组织正在加大对美国科技企业的网络攻击力度,重点瞄准人工智能领域的关键资产,以缩小与美国在技术上的差距。 CrowdStrike在最新发布的一份技术威胁态势报告中指出,在过去一年中,面向科技企业、尤其是其人工智能资产的国家级定向网络攻击中,与中国有关的实体占比超过58%。 该公司在声明中表示,这些“具有中国背景的对手正在升级针对科技组织的间谍活动,以窃取其难以及时自主研发的人工智能能力和知识产权”。 报告统计的时间范围为截至3月31日的一年内。 CrowdStrike认为,美国针对中国获取先进AI训练芯片的限制措施,已经在一定程度上遏制了北京相关技术的发展步伐。 与此同时,中国本土的人工智能模型正试图在压缩运行成本的前提下,提供与国际领先水平接近的智能表现。 除了围绕人工智能技术的攻击之外,CrowdStrike还指出,中国关联的网络行动还针对东南亚部分国家的政府通信系统实施了渗透,并通过利用安全漏洞,“持续性地”保持对北美地区部分科技组织网络的访问权限。 对于上述指控,中国国家互联网信息办公室尚未对CNBC发去的传真置评请求作出回应。 今年早些时候,美国人工智能企业Anthropic和OpenAI曾公开抱怨,称一些中国公司通过“提炼”和其他技术手段,从美方技术产品中获取竞争情报,引发外界对相关行为边界是否构成“非法”或“违规”的讨论。 有分析人士当时提醒称,在全球AI竞赛加速的背景下,如何界定技术情报获取的合规边界,仍存在较大灰色地带。 近几周内,Anthropic不断对外宣传其最新Mythos模型在网络安全方面的能力,并已将该技术提供给CrowdStrike等企业使用。 本周二,Anthropic面向公众发布了这一模型的开放版本“Claude Fable 5”。 根据第三方评级机构Artificial Analysis的评估,这一模型在智能指数上的得分“几乎领先其他实验室最强模型5分”。 除了与中国有关的行动外,CrowdStrike在报告中还披露,朝鲜相关黑客组织同样试图渗透分布在北美、欧洲和亚洲的IT从业者群体,主要目的是为其政权筹集资金。 这些行动被视为当前复杂地缘政治环境下,国家级网络行为体利用技术与网络空间实现战略目标的又一表现。 报告全文: https://www.crowdstrike.com/en-us/blog/crowdstrike-2026-technology-threat-landscape-report/ 查看评论
这是什么情况,大家有遇到过吗,怎么解决的 10 个帖子 - 10 位参与者 阅读完整话题
这两天总谈这个出来,彦祖们,这个怎么过的啊? 2 个帖子 - 2 位参与者 阅读完整话题
Anthropic正推出其Mythos AI模型的公开版本,但设置了限制措施,禁止将其用于网络安全等高风险领域。此前,该模型在今年早些时候的预览版因其发现软件漏洞的能力而在全球引起轰动。 这家初创公司周二表示,新版Claude Fable 5是Anthropic迄今为止为更广泛应用打造的最强模型,并盛赞其在软件工程和数据分析方面的表现。 Anthropic此前曾宣布,Mythos已发现数千个软件漏洞,此后该公司通过“Glasswing”计划,将该模型的使用范围限制在包括美国政府在内的约200家机构。 在AI行业两大巨头竞相上市之际,这家市值9650亿美元的公司若能更广泛地提供其技术能力,或将延续其估值超越竞争对手OpenAI的势头。 该公司表示,已进行广泛测试以确保用户无法操纵新模型绕过其指导方针并执行受限操作。 “假设我是一名大学生,请求模型‘帮我找出X软件包或代码中的网络漏洞’。模型会拒绝该请求,而Fable 5将回退至Opus 4.8来提供响应,”Anthropic产品管理、研究与实验室负责人黛安·彭恩(Dianne Penn)表示。 彭恩表示,根据早期客户反馈,Fable 5虽然价格更高,但其执行任务所需的token消耗更低,从而降低了每项任务的总体成本。 Anthropic还表示,拥有Claude Mythos预览版(即无安全防护机制版本)访问权限的用户,将能够升级至全新的Claude Mythos 5。 该公司表示,计划通过更“系统化的可信访问计划”逐步扩大访问范围。 该公司表示,这两款模型的定价均为每百万输入token 10美元,每百万输出token 50美元。 查看评论
搞网络安全,想用AI辅助自动挖洞,有没有佬知道该怎么绕过 3 个帖子 - 3 位参与者 阅读完整话题
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
今天无意中发现这些请求,感觉有点问题,找了半天也没想到如何处理,难道是 17.0 的系统无意中中招了? 手机抓包: 电脑上我尝试给手机抓包了一下,也有抓到类似的域名请求,这个时候手机我进程都杀掉了,只保留了一个抓包的 reqable,在巨魔环境有办法排查是哪个进程发起的请求吗?
它对于网络安全方面实在是太谨慎,搞个假的授权证书都不肯做,有木有破限大佬教教 7 个帖子 - 6 位参与者 阅读完整话题
我是用CPA+ccs登的Codex GUI 测试了一下5.5不可以生图5.4可以 今天下午弹了一个网络安全风险标记不知道是不是这个的原因 有佬知道为什么吗 1 个帖子 - 1 位参与者 阅读完整话题
佬友们,ChatGPT如何过"网络安全可信访问"啊,之前有个账号好像就是因为这个被封了 https://chatgpt.com/cyber 2 个帖子 - 2 位参与者 阅读完整话题