Anthropic je objavio početne rezultate testiranja svoje preliminarne verzije Mythos AI modela, koji značajno proširuje njegove mogućnosti za pronalaženje grešaka, identifikaciju ranjivosti i pisanje gotovih exploita. Koristeći Mythos AI model, Anthropic je skenirao preko hiljadu važnih projekata otvorenog koda, identificirajući 23019 ranjivosti. 6202 od ovih ranjivosti ocijenjeno je kao visoko ili kritično.
Od 6202 ranjivosti koje je Mythos AI model klasificirao kao opasne, 1752 su verificirali nezavisni sigurnosni istraživači. U 1587 slučajeva (90.6%) ranjivost je potvrđena, a u 1094 slučaja (62.4%) nivo ozbiljnosti je ostao visok ili kritičan. S obzirom na trenutnu stopu lažno pozitivnih rezultata, očekuje se da će od 6202 opasne ranjivosti koje je identificirao AI model, približno 3900 (62.4%) zadržati visoku ocjenu ozbiljnosti modela, ne uključujući opasne ranjivosti koje je zasebno identificiralo 50 učesnika Glasswing projekta.
Informacije o 467 verifikovanih ranjivosti podijeljene su s održavateljima projekata otvorenog koda od strane predstavnika kompanija koje su vršile pregled. Na odvojene zahtjeve, zaposlenici Anthropica direktno su s održavateljima podijelili informacije o 1129 neprovjerenih problema. Ukupno su održavatelji 281 projekta otvorenog koda primili informacije o 1596 problema i potvrdili prisustvo 1451 ranjivosti. Međutim, do sada je u kodnim bazama ispravljeno samo 97 problema, a izdato je 88 javnih izvještaja o ranjivostima.
Nadalje, 50 učesnika Glasswing projekta koji su dobili rani pristup Mythos modelu navodno su identificirali preko 10 opasnih ranjivosti u svojim kodnim bazama. Na primjer, Cloudflare je pronašao preko 2000 grešaka koristeći Mythos, od kojih je 400 ocijenjeno kao visoko i kritično. Stopa lažno pozitivnih rezultata Cloudflarea bila je niža od stope testiranja od strane ljudi. Mozilla je, prilikom testiranja Firefoxa 150, pronašla 271 ranjivost koristeći Mythos, što je 10 puta više od broja pronađenog prilikom testiranja Firefoxa 148 koristeći Claude Opus 4.6 model.
Naveden je primjer kritičnog problema koji je već riješen:
ranjivost (CVE-2026-5194) u kriptografskoj biblioteci wolfSSL. Mythos je uspio pripremiti iskorištavanje koje omogućava napadaču generiranje lažnog ECDSA certifikata za web stranice i račune e-pošte. serveri, koji je obrađen kao važeći kada ga je verificirala wolfSSL biblioteka. Problem je uzrokovan nedostajućom provjerom veličine hash-a i OID-a u kodu, što je omogućilo da se u certifikatu navede manja veličina hash-a od dozvoljene.
izvor: opennet.ru
