
警报拉响!新加坡政府紧急发文:AI黑客时代已基本到来
新加坡: 新加坡网络安全局(CSA)已向所有关键信息基础设施(CII)所有者的董事会及高级管理层致信,要求针对AI驱动的新型威胁,全面审查其网络安全防御体系。
新加坡数字发展与信息部政务部长陈国文(Tan Kiat How)在周二(5月5日)的国会发言中指出,CSA的这封信明确了审查的具体要求。他在回应国会议员关于AI网络攻击以及组织如何加强防御的提问时强调:
“这绝不是一个可以仅仅交给IT团队处理的问题,”陈国委表示。
“它需要最高层领导层的关注,包括董事会成员和首席执行官。无论组织运行的是信息技术系统、操作技术系统,还是两者兼有,都必须重视。首要任务是迅速夯实基础。”
什么是关键信息基础设施(CII)?
CII是指直接参与提供基本服务的计算机系统。涉及的领域包括:能源、水务、银行金融、医疗保健、交通、信息通信、媒体、安全与应急服务以及政府部门。
在致信中,CSA首席执行官David Koh指出,前沿AI的新发展“要求董事会和CEO必须介入”。
他写道:“前沿AI的发展速度正在改变游戏规则,现有的网络风险管理假设——即你们设计控制措施、防御手段和应急响应计划的基础——可能已不再有效。漏洞发现的速度正在变得更快、成本更低。”
审查重点:不仅仅是修补漏洞
组织的审查应重点评估:当前的风险评估是否充分考虑了AI驱动的威胁;对关键系统、互联网资产、特权访问、云服务及第三方依赖项的可见性是否依然充足。
此外,还应考虑漏洞管理、补丁更新、监控和应急响应机制是否足够迅速,以及对AI的使用是否符合适当的治理规范。同时,组织也应探索如何利用AI来增强现有的网络安全运营能力。
Koh先生表示,审查结果应提交给相应的董事会或执行治理风险委员会。“一旦发现重大差距,管理层必须确保通过明确的补救计划、明确的风险接受决策以及必要的网络安全投资优先级调整来解决这些问题。”
他补充说,CSA将持续监测发展动态,发布进一步的技术指南,并与合作伙伴共同努力,加强新加坡的集体网络韧性。
陈国文部长还提到,新加坡金融管理局(MAS)已召集各大金融机构的CEO讨论威胁态势,以“推动技术与网络韧性的集体行动”。他补充道:“金融机构正以应有的严肃态度对待此事,并一直在加强防御态势。”
政府认为,AI驱动的网络风险是现有系统性风险的放大,而非一个全新的类别。政府机构也正对AI带来的网络安全风险保持高度警惕。
面对Mythos:无法直接访问,但风险已在眼前
上个月,CSA敦促新加坡企业加强网络安全措施,理由是前沿AI模型可能带来的风险增加。在此之前几天,Anthropic公司在引发一波能力热潮之际,预览了其名为Mythos的模型。
英国AI安全研究所发现,Mythos在执行复杂网络攻击方面的能力,要强于OpenAI的ChatGPT或Google的Gemini等其他AI工具。
在发布Mythos时,Anthropic表示他们已经发现了数千个高严重性漏洞,其中涵盖了几乎所有主流操作系统和网络浏览器。
针对国会议员Louis Chua的提问,陈国文表示,政府目前无法直接访问Mythos。由于Anthropic仅在受控预览下向有限的合作伙伴开放,当局并不知晓是否有本地银行获得了访问权限。
“更广泛地说,我们并不假设自己总能第一时间接触到每一个前沿模型,”他补充道。相反,当局正与包括主要AI实验室和网络安全公司在内的各类合作伙伴保持密切合作,以追踪发展动态并评估安全影响。
“我们正在与拥有Mythos访问权限的合作伙伴合作,以更好地了解其能力和影响。”
他补充说,CSA正与相关政府机构及行业专家密切配合,交换关于威胁和缓解措施的见解。同时,政府也在审查CII所有者的标准与义务,以应对AI带来的更快速的攻击节奏。根据《网络安全法》,CSA有权在必要时指示并强制执行行动。
“针对Mythos,由于无法直接访问,我们无法自行测试模型。但我们会根据已发布的评估报告、威胁情报以及与主要AI实验室的持续沟通来评估风险,”陈国文表示。
“如果出现了可能对国家重要系统造成重大风险的可靠证据,我们将与CII所有者合作并建议他们进行系统补丁修复和加固。这是我们迄今为止采取的方法,我们将继续这样做。”
陈国文最后强调,问题的核心并不在于Mythos这一个单一模型。他表示:“底层的转变是更广泛的,风险是真实的。我们正以应有的严肃态度对待这些挑战。”






















