4月22日,周鸿祎针对Mythos引发的全球网络安全冲击发表看法。他表示,Mythos通过扫描代码库大幅提升了漏洞发现效率,降低了挖掘成本,这种效率的提升可能会颠覆现有的网络安全攻防格局。
周鸿祎还介绍了360首次公开的漏洞挖掘智能体体系。该体系基于360近20年的网络安全实战经验,结合了全球顶尖安全专家的知识,实现了漏洞发现、验证及利用链构建等关键环节的自动化处理,使复杂漏洞挖掘逐步由个体经验驱动转向体系化能力支撑。
他指出,Mythos之所以引发行业震动,是因为它打破了长期以来的“漏洞稀缺”格局。过去,漏洞作为网络攻防的核心战略资产,挖掘门槛极高,需要依赖顶尖黑客长期分析测试,周期常以年计且成本高昂。而Mythos的出现使得漏洞挖掘变得更为高效和批量,优质高危漏洞的发现不再像“中彩票”般不稳定。
周鸿祎强调,漏洞是程序员写程序时无意中留下的错误,不影响软件正常运行,但极端输入会触发漏洞,导致程序死机或失控。与后门和普通bug不同,漏洞隐藏极深,即便制造漏洞的程序员也难以察觉。漏洞是网络攻击的核心战略资产,价值极高,例如普通手机漏洞可卖到上百万美元。
他认为,如果Mythos系统实现规模化应用,将带来两大核心影响:一方面,攻击方可以通过该系统批量扫描开源代码库,获取数百倍于以往的可利用漏洞,大幅提升关键基础设施、企业及政府系统的被攻击概率;另一方面,防守方若能借助同类技术批量发现并修补漏洞,将彻底改变传统“层层防御”的被动模式,掌握自动化漏洞技术将成为网络安全攻防的关键。
面对Mythos带来的挑战,360已提前布局并取得突破性成果。该公司推出漏洞代码扫描挖掘智能体与网络安全防御智能体,为构建攻防平衡提供了核心支撑。360三年前确立了“AI+安全”双线发展战略,解决AI带来的安全问题,并用AI赋能安全、提升防护能力。
