軟件安全一直備受挑戰。現代軟件極其複雜,並與其他軟件高度互聯,導致威脅層出不窮。Apple 裝置每隔數週就會推送更新,修補數十個漏洞,但問題似乎永無止境。一個系統的「攻擊面」指所有潛在攻擊點,即駭客可利用的代碼漏洞,涵蓋裝置、程式、軟件或服務。隨著代碼規模擴大,加上庫、API 和中介軟件增加,現代代碼的攻擊面極為龐大。 Apple 等公司的安全工程師負責找出並修復所有潛在漏洞,但這項工作規模過大。
駭客只需發現一個未知漏洞即可得手,而工程師則需修復全部。這令攻擊者佔盡上風,軟件安全策略轉向提高攻擊門檻,令漏洞利用變得困難且成本高昂,從而減少發生頻率。
AI 編碼代理重塑規則
AI 編碼代理表現出色,在多個領域超越一般程式員,甚至媲美頂尖專家。Anthropic 的 Opus 模型及 Claude Code 工具備受肯定。Mozilla 團隊使用 Opus 4.6 掃描 Firefox 代碼庫,發現 22 個安全敏感漏洞。這家專注瀏覽器的公司擁有專家團隊,AI 代理仍能找出額外問題。 Anthropic 的下一代模型 Mythos 尚未發佈,但據稱在代碼分析及生成方面超越現有 Opus 4.
7。為測試其效能,Anthropic 推出 Project Glasswing 計劃,向 Apple、Google、Microsoft、Cisco、Linux Foundation、Amazon Web Services 等公司安全研究員提供 Mythos 早期版本,並撥款用於漏洞發現與修復。 同一團隊先用 Opus 4.6 在 Firefox 找出並修復 22 個漏洞,後使用 Mythos 預覽版發現額外 271 個,Firefox 150 版已納入修補。
Firefox 表示,一個此類漏洞已足夠引起 2025 年嚴重警報,如此大量同時出現令人質疑是否能跟上步伐。 | 模型版本 | 發現漏洞數量 | 應用軟件 | |———-|————–|———-| | Opus 4.6 | 22 | Firefox | | Mythos 預覽版 | 271 | Firefox |
Mythos 代碼能力強大,Anthropic 優先讓關鍵企業測試,以驗證其修復漏洞潛力。由於效能過高,可能被惡意人士濫用,例如在 GitHub 等代碼庫尋找並利用漏洞,而非修復。因此,Anthropic 暫不對公眾開放,僅限特定公司先行強化軟件。 未來 iOS 更新或能預先修補數百個安全漏洞,阻礙駭客利用。AI 編碼代理最終將廣泛可用,這看似帶來新威脅,實則平衡局勢。
目前裝置軟件互操作性高,代碼量龐大,難以全面保障。駭客有充裕時間尋找單一漏洞,而安全研究員人手有限,須預防性修復。AI 代理可大規模運作,等同為主要軟件供應商提供數千名專家級程式員,發佈前全面審查。 先進 AI 雖助惡意行為擴大規模,亦讓守方高效應對,這是前所未有優勢。結合預發佈代碼審查,網絡安全中的「防守」或首次領先「進攻」。安全研究員與 AI 開發商合作,加入防護機制,令公眾版對惡意用途效果減弱。
Apple 近期作業系統更新充滿安全修補,iOS 26.3 及 26.4 版各有數十項修復。今秋 iOS 27 更新預計將關閉更多漏洞,舊版裝置或獲後續修補。未來半年內,Apple 或推出含 100 項以上安全修補的更新。目前處於過渡期,AI 同時助力駭客與開發者,但舊軟件庫強化後,此階段將迅速過去。
