Gipahibalo sa Anthropic ang proyekto nga Glasswing, nga maghatag og access sa usa ka pasiunang bersyon sa Claude Mythos AI model niini alang sa katuyoan sa pag-ila sa mga kahuyangan ug pagpauswag sa seguridad sa kritikal nga software. Ang mga partisipante sa proyekto naglakip sa Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, ug Palo Alto Networks. Gibana-bana nga 40 pa ka mga organisasyon ang nakadawat usab og mga imbitasyon sa pag-apil.
Gipagawas niadtong Pebrero, ang Claude Opus 4.6 AI model nakab-ot ang bag-ong lebel sa performance sa mga lugar sama sa pag-ila sa kahuyangan, pag-ila ug pag-ayo sa bug, pagrepaso sa mga pagbag-o, ug pagmugna og code. Ang mga eksperimento niining AI model nagtugot sa pag-ila sa kapin sa 500 ka mga kahuyangan sa mga open-source nga proyekto ug sa pagmugna og usa ka C compiler nga makahimo sa pagtukod sa Linux kernel. Bisan pa, ang Claude Opus 4.6 wala kaayo maayo ang performance sa paghimo og mga working exploit.
Sumala sa Anthropic, ang sunod nga henerasyon nga modelo nga "Claude Mythos" milabaw pag-ayo sa Claude Opus 4.6 sa paghimo og andam-gamiton nga mga exploit. Sa pipila ka gatos nga mga pagsulay sa paghimo og mga exploit alang sa mga kahuyangan nga nakit-an sa JavaScript engine sa Firefox, duha ra ang malampuson sa Claude Opus 4.6. Sa pagsubli sa eksperimento gamit ang pasiunang bersyon sa modelo sa Mythos, ang mga working exploit nahimo og 181 ka beses—ang rate sa kalampusan misaka gikan sa hapit zero ngadto sa 72.4%.
Dugang pa, gipalapdan pag-ayo sa Claude Mythos ang mga kapabilidad niini sa pag-ila sa kahuyang ug bug. Kini, inubanan sa kaangayan niini alang sa pagpalambo sa exploit, nagmugna og bag-ong mga risgo alang sa industriya: ang mga exploit alang sa wala ma-patch nga mga kahuyangan sa zero-day mahimong mahimo sa mga dili propesyonal sulod lang sa pipila ka oras. Namatikdan nga ang mga kapabilidad sa pag-ila ug pagpahimulos sa kahuyang sa Mythos nakaabot na sa propesyonal nga lebel, nga kulang lamang sa labing eksperyensiyado nga mga propesyonal.
Tungod kay ang pag-abli sa walay pugong nga pag-access sa usa ka modelo sa AI nga adunay ingon nga mga kapabilidad nanginahanglan og pagpangandam sa industriya, nakadesisyon nga una nga ablihan ang usa ka pasiunang bersyon sa usa ka pinili nga grupo sa mga eksperto aron magpahigayon og trabaho sa pag-ila sa kahuyangan ug pag-patch sa mga kritikal nga produkto sa software ug open-source software. Aron pondohan ang inisyatibo, usa ka $100 milyon nga token subsidy ang gigahin, ug $4 milyon ang idonar sa mga organisasyon nga nagsuporta sa seguridad sa mga open-source nga proyekto.
Sa benchmark sa CyberGym, nga nagsusi sa mga kapabilidad sa pag-ila sa kahuyangan sa mga modelo, ang modelo sa Mythos nakakuha og iskor nga 83.1%, samtang ang Opus 4.6 nakakuha og iskor nga 66.6%. Sa mga pagsulay sa kalidad sa code, ang mga modelo nagpakita sa mosunod nga performance:
Atol sa eksperimento, ang Anthropic, gamit ang Mythos AI model, nakahimo sa pag-ila sa liboan ka wala pa mailhi (0-ka adlaw) nga mga kahuyangan sulod lang sa pipila ka semana, kadaghanan niini gi-rate nga kritikal. Lakip niini, ilang nadiskobrehan ang usa ka kahuyangan sa OpenBSD TCP stack nga wala mamatikdi sulod sa 27 ka tuig, nga nagtugot sa mga remote system crash. Nadiskobrehan usab nila ang usa ka 16-anyos nga kahuyangan sa implementasyon sa FFmpeg project sa H.264 codec, ingon man mga kahuyangan sa H.265 ug av1 codecs, nga gigamit sa pagproseso sa espesyal nga gihimo nga sulud.
Daghang mga kahuyangan ang nadiskobrehan sa Linux kernel nga mahimong magtugot sa usa ka walay pribilehiyo nga tiggamit nga makakuha og mga pribilehiyo sa root. Ang pagdugtong niining mga kahuyangan nagtugot sa paghimo og mga exploit nga makakuha og mga pribilehiyo sa root pinaagi sa pag-abli sa mga espesyal nga panid sa usa ka web browser. Usa ka exploit ang gihimo usab nga nagtugot sa pagpatuman sa code nga adunay mga pribilehiyo sa root pinaagi sa pagpadala sa espesyal nga gihimo nga mga network packet ngadto sa usa ka FreeBSD NFS server.
Usa ka kahuyangan ang nakit-an sa usa ka virtualization system nga gisulat sa usa ka pinulongan nga naghatag og luwas nga mga himan sa pagdumala sa memorya. Kini nga kahuyangan posibleng nagtugot sa pagpatuman sa host-side code pinaagi sa manipulasyon sa guest system (ang kahuyangan wala nganli tungod kay wala pa kini naayo, apan daw anaa kini sa usa ka dili luwas nga bloke sa Rust code). Ang mga kahuyangan nakit-an sa tanang sikat nga web browser ug cryptographic libraries. Ang mga kahuyangan sa SQL injection nakit-an sa lain-laing mga web application.
Source: opennet.ru
