Anthropic het die Glasswing-projek aangekondig, wat toegang sal bied tot 'n voorlopige weergawe van sy Claude Mythos KI-model met die doel om kwesbaarhede te identifiseer en die sekuriteit van kritieke sagteware te verbeter. Projekdeelnemers sluit in die Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA en Palo Alto Networks. Ongeveer 40 bykomende organisasies het ook uitnodigings ontvang om deel te neem.
Die Claude Opus 4.6 KI-model, wat in Februarie vrygestel is, het nuwe vlakke van prestasie bereik in gebiede soos kwesbaarheidsopsporing, foutopsporing en -herstel, veranderingsoorsig en kodegenerering. Eksperimente met hierdie KI-model het die identifisering van meer as 500 kwesbaarhede in oopbronprojekte en die generering van 'n C-samesteller wat die Linux-kern kan bou, moontlik gemaak. Claude Opus 4.6 het egter swak presteer in die skep van werkende aanvalle.
Volgens Anthropic oortref die volgende generasie "Claude Mythos"-model Claude Opus 4.6 aansienlik in die vervaardiging van gereed-vir-gebruik-aanvalle. Van etlike honderde pogings om aanvalle te skep vir kwesbaarhede wat in Firefox se JavaScript-enjin geïdentifiseer is, was slegs twee suksesvol met Claude Opus 4.6. Toe die eksperiment herhaal is met 'n voorlopige weergawe van die Mythos-model, is werkende aanvalle 181 keer geskep - die sukseskoers het van byna nul tot 72.4% gestyg.
Verder brei Claude Mythos sy kwesbaarheids- en foutopsporingsvermoëns aansienlik uit. Dit, gekombineer met sy geskiktheid vir die ontwikkeling van kwetsbaarhede, skep nuwe risiko's vir die bedryf: kwetsbaarhede vir ongepatchte nuldag-kwesbaarhede kan binne 'n paar uur deur nie-professionele persone geskep word. Daar word opgemerk dat Mythos se kwesbaarheidsopsporing- en uitbuitingsvermoëns professionele vlakke bereik het en slegs tekortskiet aan die mees ervare professionele persone.
Aangesien die oopmaak van onbeperkte toegang tot 'n KI-model met sulke vermoëns voorbereiding van die bedryf vereis, is daar besluit om aanvanklik 'n voorlopige weergawe oop te maak vir 'n uitgesoekte groep kundiges om kwesbaarheidsidentifikasie en regstellingswerk in kritieke sagtewareprodukte en oopbronsagteware uit te voer. Om die inisiatief te befonds, is 'n token-subsidie van $100 miljoen toegeken, en $4 miljoen sal geskenk word aan organisasies wat die sekuriteit van oopbronprojekte ondersteun.
In die CyberGym-maatstaf, wat modelle se kwesbaarheidsopsporingsvermoëns evalueer, het die Mythos-model 'n telling van 83.1% behaal, terwyl Opus 4.6 'n telling van 66.6% behaal het. In kodekwaliteitstoetse het die modelle die volgende prestasie getoon:
Tydens die eksperiment kon Anthropic, met behulp van die Mythos KI-model, binne net 'n paar weke etlike duisende voorheen onbekende (0-dag) kwesbaarhede identifiseer, waarvan baie as krities gegradeer is. Onder hulle het hulle 'n kwesbaarheid in die OpenBSD TCP-stapel ontdek wat vir 27 jaar onopgespoor gebly het, wat afstandstelselineenstortings moontlik gemaak het. Hulle het ook 'n 16 jaar oue kwesbaarheid in die FFmpeg-projek se implementering van die H.264-kodek ontdek, sowel as kwesbaarhede in die H.265- en av1-kodeke, wat uitgebuit is tydens die verwerking van spesiaal vervaardigde inhoud.
Verskeie kwesbaarhede is in die Linux-kern ontdek wat 'n onbevoorregte gebruiker in staat kon stel om wortelregte te verkry. Deur hierdie kwesbaarhede aan mekaar te koppel, kon aanvalsaanvalle geskep word wat wortelregte kon verkry deur spesiale bladsye in 'n webblaaier oop te maak. 'n Aanval is ook geskep wat kode-uitvoering met wortelregte moontlik gemaak het deur spesiaal vervaardigde netwerkpakkette na 'n FreeBSD NFS-bediener te stuur.
'n Kwetsbaarheid is geïdentifiseer in 'n virtualiseringstelsel wat geskryf is in 'n taal wat veilige geheuebestuursinstrumente bied. Hierdie kwesbaarheid maak moontlik voorsiening vir die uitvoering van kode aan die gasheerkant deur manipulasie van die gasstelsel (die kwesbaarheid word nie genoem nie omdat dit nog nie reggestel is nie, maar dit blyk teenwoordig te wees in 'n onveilige blok in die Rust-kode). Kwetsbaarhede is gevind in alle gewilde webblaaiers en kriptografiese biblioteke. SQL-inspuitingkwesbaarhede is geïdentifiseer in verskeie webtoepassings.
Bron: opennet.ru
