文/鄭宜芬
當生成式 AI 持續提升漏洞挖掘與攻擊自動化能力,企業與關鍵基礎設施面臨的資安風險快速升高。為搶占 AI 攻防主導權,Anthropic 與趨勢科技 5 日宣布攜手推動 Project Glasswing,結合前沿 AI模型、漏洞研究能力與全球威脅情報,協助組織提前發現並修補高風險漏洞。雙方將透過責任式漏洞揭露機制、跨部會協作與供應鏈聯防模式,強化臺灣關鍵基礎設施與全球供應鏈的韌性。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
從漏洞發現到修補驗證 建立 AI 驅動漏洞治理流程
Anthropic 指出,當前惡意攻擊者已透過 AI 取得速度與規模上的優勢。Glasswing計畫的核心理念,是將前沿 AI 模型的攻擊思維、漏洞串接能力與機器級運算速度,結合第一線資安研究經驗與全球威脅遙測資料,優先提供給防禦方使用,並透過負責任的漏洞揭露流程,讓作業系統、瀏覽器及關鍵資安供應商有足夠時間完成修補與防護部署,降低零日漏洞遭到武器化利用的風險。
在運作機制方面,Glasswing 將優先賦能作業系統、瀏覽器及關鍵資安供應商等「防禦者」,利用前沿 AI 模型發現與串接高風險漏洞;待相關漏洞完成修補後,再逐步擴大模型能力的開放範圍,以降低零日漏洞外溢與濫用風險。
雙方將透過人類專家引導模型分析複雜軟體系統,辨識可達成、可利用及必須優先防禦的攻擊點位,再以機器速度執行分析與驗證工作,並結合趨勢科技既有情報引擎,打造更完整的防禦能力。
Trend AI 未來將運用 Anthropic 的 Claude Mythos Preview,強化軟體程式碼審查與分析能力,協助威脅情報研究人員將 AI 驅動的漏洞發掘成果,進一步轉化為協同漏洞揭露、修補優先排序,以及透過漏洞防護與虛擬修補措施實現可量化的風險降低。
雙方也將整合既有漏洞研究成果與全球威脅遙測資料,建構 Glasswing 模型驅動的漏洞管理管線,涵蓋模型輸出、PoC 驗證、供應商協同揭露及修補追蹤等完整流程,並針對作業系統、瀏覽器及關鍵基礎設施元件建立優先級清單,依據 CVSS 評分、漏洞可串接性及供應鏈影響程度,啟動首批攻防演練與驗證工作。
趨勢科技將與 Anthropic 共同設計 Glasswing 聯合研究工作流程,建立漏洞發現、漏洞串接、責任揭露及修補驗收標準;針對 TSMC、ASML 等供應鏈客戶規劃前沿AI防禦升級路線圖,明確訂定關鍵里程碑與風險門檻。
Anthropic 將提供趨勢科技旗下 Trend AI 前沿安全模型的深度存取能力,以及模型安全與可靠性工程專長,同步導入安全護欄與使用政策,確保責任式漏洞揭露機制符合相關治理要求。此外,雙方也將成立由 Anthropic、Trend AI 及數位發展部共同參與的聯合治理小組,每月檢視漏洞處置進度與模型開放節奏,確保技術發展與風險控管取得平衡。
數位發展部部長林宜敬表示,數發部將提供臺灣關鍵基礎設施名錄與聯絡窗口,協調跨部會資源支持趨勢科技與 Anthropic 的漏洞修補行動,同時建立「責任式 AI 漏洞披露」公共指引,協助產業在 Glasswing 國際合作框架下落實合規部署與治理機制。
[ 推薦閱讀:當 AI Agent 開始做事,CISO 真正該管的是什麼 ]
瞄準臺灣供應鏈與關鍵基礎設施防護
趨勢科技表示,公司擁有近四十年的資安產業經驗,具備全球威脅遙測、跨廠商漏洞研究、漏洞獎勵社群經營,以及第一線客戶事件應變能力,甚至長期深入客戶現場參與重大資安事件處理。
趨勢科技強調,推動 AI 部署的前提是建立信任,因此除了技術合作之外,也將協助臺灣企業與關鍵基礎設施加速完成漏洞修補工作,建立導入 AI 所需的安全基礎。未來不只是將 AI 視為既有產品的附加功能,而是從研究、營運到防禦流程全面推動原生 AI 化,以更好的 AI 能力對抗惡意 AI 所帶來的新型態威脅。
[ 推薦閱讀:當 secrets 治理失效,第三方就會變成最難說清楚的攻擊面 ]
建構 AI 防禦生態系 擴大供應鏈聯防能力
Glasswing 計畫也將串聯全球防禦者、安全領導者、政府機關及關鍵基礎設施營運單位,共同建立防禦社群。趨勢科技表示,公司不只是參與者,更希望透過自身技術實力與產業經驗,協助定義未來 AI 驅動資安治理的發展方向。
為進一步落實相關目標,趨勢科技亦宣布啟動「Trend AI Inception Program」,為臺灣AI新創與關鍵基礎設施提供前沿 AI 防護方案與漏洞修補支援,並制定企業導入名單與分階段推動計畫。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
