Anthropic ha anunciat el projecte Glasswing, que proporcionarà accés a una versió preliminar del seu model d'IA Claude Mythos amb l'objectiu d'identificar vulnerabilitats i millorar la seguretat del programari crític. Entre els participants del projecte hi ha la Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA i Palo Alto Networks. Aproximadament 40 organitzacions més també han rebut invitacions per participar-hi.
Publicat al febrer, el model d'IA Claude Opus 4.6 va assolir nous nivells de rendiment en àrees com la detecció de vulnerabilitats, la detecció i correcció d'errors, la revisió de canvis i la generació de codi. Els experiments amb aquest model d'IA van permetre la identificació de més de 500 vulnerabilitats en projectes de codi obert i la generació d'un compilador de C capaç de construir el nucli de Linux. Tanmateix, Claude Opus 4.6 va tenir un rendiment deficient a l'hora de crear exploits funcionals.
Segons Anthropic, el model "Claude Mythos" de nova generació supera significativament el Claude Opus 4.6 a l'hora de produir exploits llestos per a l'ús. De diversos centenars d'intents de crear exploits per a vulnerabilitats identificades al motor JavaScript de Firefox, només dos van tenir èxit amb el Claude Opus 4.6. En repetir l'experiment utilitzant una versió preliminar del model Mythos, es van crear exploits funcionals 181 vegades: la taxa d'èxit va augmentar de gairebé zero al 72.4%.
A més, Claude Mythos amplia significativament les seves capacitats de detecció de vulnerabilitats i errors. Això, combinat amb la seva idoneïtat per al desenvolupament d'explotacions, crea nous riscos per a la indústria: les vulnerabilitats de dia zero sense pegats poden ser creades per no professionals en qüestió d'hores. Cal destacar que les capacitats de detecció i explotació de vulnerabilitats de Mythos han assolit nivells professionals, que només estan a l'altura dels professionals més experimentats.
Com que obrir l'accés sense restriccions a un model d'IA amb aquestes capacitats requereix una preparació de la indústria, es va decidir obrir inicialment una versió preliminar a un grup selecte d'experts per dur a terme treballs d'identificació de vulnerabilitats i correcció de pegats en productes de programari crítics i programari de codi obert. Per finançar la iniciativa, s'ha assignat una subvenció de 100 milions de dòlars en tokens i es donaran 4 milions de dòlars a organitzacions que donen suport a la seguretat dels projectes de codi obert.
En el benchmark CyberGym, que avalua les capacitats de detecció de vulnerabilitats dels models, el model Mythos va aconseguir una puntuació del 83.1%, mentre que Opus 4.6 va aconseguir una puntuació del 66.6%. En les proves de qualitat de codi, els models van demostrar el següent rendiment:
Durant l'experiment, Anthropic, utilitzant el model d'IA Mythos, va ser capaç d'identificar diversos milers de vulnerabilitats prèviament desconegudes (dia 0) en només unes setmanes, moltes de les quals van ser qualificades com a crítiques. Entre elles, van descobrir una vulnerabilitat a la pila TCP d'OpenBSD que havia romàs sense detectar durant 27 anys, permetent bloquejos remots del sistema. També van descobrir una vulnerabilitat de 16 anys d'antiguitat a la implementació del còdec H.264 del projecte FFmpeg, així com vulnerabilitats als còdecs H.265 i av1, explotades en processar contingut especialment dissenyat.
Es van descobrir diverses vulnerabilitats al nucli de Linux que podien permetre a un usuari sense privilegis obtenir privilegis de root. L'encadenament d'aquestes vulnerabilitats va permetre crear exploits que podien obtenir privilegis de root obrint pàgines especials en un navegador web. També es va crear un exploit que permetia l'execució de codi amb privilegis de root enviant paquets de xarxa especialment dissenyats a un servidor NFS de FreeBSD.
S'ha identificat una vulnerabilitat en un sistema de virtualització escrit en un llenguatge que proporciona eines de gestió de memòria segures. Aquesta vulnerabilitat permet potencialment l'execució de codi del costat de l'amfitrió mitjançant la manipulació del sistema convidat (la vulnerabilitat no s'anomena perquè encara no s'ha corregit, però sembla que està present en un bloc insegur del codi Rust). S'han trobat vulnerabilitats en tots els navegadors web i biblioteques criptogràfiques populars. S'han identificat vulnerabilitats d'injecció SQL en diverses aplicacions web.
Font: opennet.ru
