矽谷老兵的警示：AI蠕蟲，一場你無法「修補」的惡夢

(SeaPRwire) –

多倫多大學關於AI驅動電腦蠕蟲的消息，不只是一則網路安全警報；它標誌著一個根本性的轉變。Gary McGraw說得對，這比Anthropic的Mythos模型更令人不安。傳統蠕蟲只針對單一漏洞，修補了就沒事。但現在，我們面對的是一個能自主推理、尋找並利用各種不同漏洞的智慧體。這不再是修補一個已知弱點的問題，而是面對一個能不斷學習、適應的對手。它像一個無情的獵人，持續在網路中搜尋目標。

從官方發布的論文《AI代理實現自適應電腦蠕蟲》來看，多倫多大學研究人員展示的技術令人心驚。他們利用開源權重的大型語言模型，讓蠕蟲在沒有人類干預下，自動生成攻擊策略。在模擬的33台企業網路中，這條蠕蟲在一週內平均攻破了近四分之三的機器，並在近三分之二的機器上建立了永久存在。這不是實驗室裡的理論，而是實實在在的自主攻擊能力。其潛在的產業次文本是，過去依賴已知漏洞的防禦模式已然失效，攻擊者現在能以極低的門檻，利用通用AI工具發動高度客製化的攻擊。

這條AI蠕蟲的知識截止日期根本不是問題。它能即時閱讀公開漏洞諮詢，自行找出新的利用方式。這意味著，即使是最新的漏洞，它也能迅速掌握並武器化。RunSybil執行長Ari Herbert-Voss警告，組織若繼續以「人類時間」修補漏洞，將會越來越落後。Dvun創辦人Jamieson O’Reilly雖提醒實驗室成果與現實防禦的差異，但也承認AI正降低構建自主攻擊所需的專業知識。他提到大型模型文件移動時可能被偵測，這點優勢卻會隨著模型小型化而迅速消失。這些專家言論背後的次文本是，我們正從被動修補已知問題，轉向必須主動預測並防禦未知變化的新戰場。

面對這種新威脅，Gary McGraw的建議直接而粗暴：「修好你的爛軟體。」這不是一句空話，而是對整個軟體開發與網路安全產業的當頭棒喝。我們不能再把安全視為事後補救，或僅僅是合規的成本。AI蠕蟲的出現，徹底改變了攻防的天平。現在，軟體品質與漏洞管理，已不再是可選的「最佳實踐」，而是企業生存的底線。這場戰役的勝負，將取決於我們能否從根本上重塑軟體安全文化，並將其內嵌於每一個開發環節。