“所有关基组织立即评估超级AI网络威胁”，一政府发布通知

前情回顾·超级AI颠覆网络安全

• 实测：Anthropic新模型可执行复杂渗透测试，自主攻陷基础防护系统

• OpenAI也搞“Mythos”？网络安全版GPT-5.4-Cyber对外亮相

• Anthropic新模型颠覆网络安全：美英德政府加急评估影响，传统漏洞或不复存在

• Anthropic新模型让传统网络防御失效，AI主导网络安全的时代正在降临！

• 防范超级AI风险：实测多天后，网安巨头Palo Alto推出企业网络防御应对指南

安全内参5月7日消息，新加坡网络安全局（CSA）已致函国内所有关键信息基础设施（CII）组织的董事会及高级管理层，要求他们就AI驱动的威胁对当前网络安全影响进行审查。

新加坡数码发展及新闻部高级政务部长陈杰豪5日在国会表示，网络安全局的致函已清楚列明，审查应涵盖的重点内容。

他是在回应议员关于AI网络攻击以及组织如何加强防御此类攻击的提问时作出上述说明。

“这不是一个可以仅交由IT团队处理的问题。”陈杰豪表示，“这需要最高层级的领导关注，包括董事会成员和首席执行官。无论一个组织运行的是IT系统、OT系统，还是两者兼具的环境，这一点都同样适用。”

“首要任务是把基础工作做好，并且要尽快落实。”

新加坡的关键信息基础设施（CII）是指直接参与提供关键服务的计算机系统，涵盖能源、水务、银行与金融、医疗保健、交通、信息通信、媒体、安全与应急服务以及政府等领域。

关基设施组织应全面审查风险评估、安全控制措施及运营机制

在致函中，网络安全局首席执行官许智贤表示，前沿AI的新发展“需要董事会和首席执行官层面的关注”。

他写道：“前沿AI的发展速度正在加快，以至于当前用于设计控制措施、管理机制和事件响应计划的网络风险管理假设，可能已不再适用。”

“漏洞的发现正变得更快、成本更低。”

组织在审查过程中应评估，其当前的网络风险评估是否已充分纳入AI驱动的威胁，以及对关键系统、互联网暴露资产、特权访问、云服务和第三方依赖的可视性是否依然充分。

审查还应评估漏洞管理、补丁更新、监控以及事件响应机制是否足够迅速，以及组织对AI的使用是否已得到适当治理。

组织还应评估可在哪些方面利用AI来提升现有的网络安全运营能力。

许智贤表示，审查结果应提交至相应的董事会或执行层风险治理委员会。

“如果发现重大差距，管理层应通过明确的整改计划以及清晰的风险接受决策加以解决，并在必要时调整网络安全投资的重点方向。”

他补充说，网络安全局将持续监测发展动态，发布进一步的技术指南，并与合作伙伴协作，提升新加坡整体的网络安全弹性。

陈杰豪表示，新加坡金融管理局已召集主要金融机构的首席执行官，共同研判威胁态势，并“推动在技术和网络安全弹性方面采取集体行动”。

他补充说：“金融机构正以应有的严肃态度对待这一问题，并在强化防御态势。”

他表示，政府将AI驱动的网络风险视为对现有系统性风险的放大，而非一个全新的风险类别。政府机构也正对AI带来的网络安全风险保持警惕。

无法使用Mythos模型，更需做好应对之策

新加坡网络安全局在上个月已经敦促当地企业加强网络安全措施，并指出前沿AI模型可能带来更高风险。

上述建议是在Anthropic推出Mythos预览版数天后提出的，该模型的能力已引发外界高度关注。

英国AI安全研究所发现，与OpenAI的ChatGPT或谷歌的Gemini等AI工具相比，Mythos更有能力被用于实施复杂的网络攻击。

在发布Mythos时，Anthropic表示已发现数千个高严重性漏洞，其中包括存在于各大主流操作系统和网络浏览器中的漏洞。

在回应议员提问时，陈杰豪表示政府无法访问Mythos。

他说，Anthropic仅在受控预览下向少数合作伙伴开放该模型，当局也不了解是否有任何本地银行获得访问权限。

他补充说：“更广泛而言，我们并不假设我们总能提前获得每一个前沿模型的访问权。”

他表示，当局因此与包括主要AI实验室和网络安全公司在内的各类合作伙伴保持紧密合作，以跟踪发展并评估其在安全与保障方面的影响。

陈杰豪补充说：“我们正在与能够访问Mythos的合作伙伴合作，以更好地了解其能力及其影响。”

新加坡网络安全局积极推进公私合作编制应对指南

他还表示，网络安全局正与相关政府机构及行业专家密切合作，就威胁及缓解措施交换意见。同时，当局也在审查针对关键信息基础设施所有者的标准与义务，以适应AI带来的更快攻击节奏。

陈杰豪表示，他已走访全部11个关键信息基础设施领域。

在回应议员关于政府如何直接支持关键信息基础设施提供者的补充提问时，他表示：“让我感到非常欣慰的是，所有高级管理层，从首席执行官到董事会成员，都已意识到这一风险，并正在采取行动。他们并没有掉以轻心。”

“他们不仅在建立流程、加大投资以保护自身及其系统，还在主动思考如何保护组织内的AI用户。”

根据《网络安全法》，网络安全局在必要时拥有指示并强制执行相关措施的权力。

陈杰豪表示：“就Mythos而言，在没有直接访问权限的情况下，我们无法自行测试该模型。但我们会依据已发布的评估、威胁情报，以及与主要AI实验室的持续互动来评估相关风险。”

“当出现可信证据表明，某项风险对具有国家重要性的系统构成重大威胁时，我们将与关键信息基础设施所有者合作并提供建议，推动其修补漏洞并强化系统。这是我们迄今为止采取的方法，未来也将继续沿用。”

在回应议员关于政府如何确保中小企业不被落下的补充提问时，陈杰豪表示，当局已部署多项资源加以支持。

这些资源包括对其系统进行“自我检查”，以及关于如何在组织内部署AI解决方案的指导方针。

陈杰豪还提到“中小企业数字化计划”等举措，当局与提供相关技术解决方案的行业伙伴合作，并对其进行预先审批，以纳入支持范围。

他说：“我们确保基础的网络安全防护已内嵌于这些系统之中。”

陈杰豪最后表示，问题的关键并不在于某一个单独模型，例如Mythos。

他补充说：“底层变化更加广泛，风险确实存在。我们正以应有的严肃态度应对这些问题。”

参考资料：https://www.channelnewsasia.com/singapore/csa-cyberattacks-ai-mythos-cii-owners-parliament-6100061

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。