Anthropic hà annunziatu u prugettu Glasswing, chì darà accessu à una versione preliminare di u so mudellu AI Claude Mythos per identificà e vulnerabilità è migliurà a sicurezza di i software critici. I participanti à u prugettu includenu a Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA è Palo Alto Networks. Circa 40 altre urganisazioni anu ancu ricevutu inviti à participà.
Publicatu in ferraghju, u mudellu AI Claude Opus 4.6 hà righjuntu novi livelli di prestazione in aree cum'è a rilevazione di vulnerabilità, a rilevazione è e correzioni di bug, a revisione di cambiamenti è a generazione di codice. L'esperimenti cù questu mudellu AI anu permessu l'identificazione di più di 500 vulnerabilità in prughjetti open-source è a generazione di un compilatore C capace di custruisce u kernel Linux. Tuttavia, Claude Opus 4.6 hà avutu scarsi risultati in a creazione di exploit funzionanti.
Sicondu Anthropic, u mudellu "Claude Mythos" di prossima generazione supera significativamente Claude Opus 4.6 in a pruduzzione di exploit pronti à l'usu. Di parechji centinaie di tentativi di creà exploit per vulnerabilità identificate in u mutore JavaScript di Firefox, solu dui anu avutu successu cù Claude Opus 4.6. Quandu si hè ripetutu l'esperimentu aduprendu una versione preliminare di u mudellu Mythos, l'exploit funzionanti sò stati creati 181 volte - u tassu di successu hè aumentatu da quasi zero à 72.4%.
Inoltre, Claude Mythos espande significativamente e so capacità di rilevazione di vulnerabilità è bug. Questu, cumminatu cù a so adattabilità per u sviluppu di exploit, crea novi risichi per l'industria: l'exploit per vulnerabilità zero-day senza patch ponu esse creati da non prufessiunali in poche ore. Hè nutatu chì e capacità di rilevazione è sfruttamentu di vulnerabilità di Mythos anu righjuntu livelli prufessiunali, essendu inferiori solu à i prufessiunali più esperti.
Siccomu l'apertura di un accessu senza restrizioni à un mudellu di IA cù tali capacità richiede una preparazione da parte di l'industria, hè statu decisu di apre inizialmente una versione preliminare à un gruppu selezziunatu di esperti per realizà un travagliu d'identificazione di vulnerabilità è di patch in prudutti software critichi è software open-source. Per finanziare l'iniziativa, hè statu attribuitu un sussidiu di token di 100 milioni di dollari, è 4 milioni di dollari saranu donati à urganisazioni chì sustenenu a sicurezza di i prughjetti open-source.
In u benchmark CyberGym, chì valuta e capacità di rilevazione di vulnerabilità di i mudelli, u mudellu Mythos hà ottenutu un puntuatu di 83.1%, mentre chì Opus 4.6 hà ottenutu un puntuatu di 66.6%. In i testi di qualità di u codice, i mudelli anu dimustratu e seguenti prestazioni:
Durante l'esperimentu, Anthropic, utilizendu u mudellu Mythos AI, hè statu capace di identificà parechje migliaia di vulnerabilità prima scunnisciute (0-day) in poche settimane, assai di e quali sò state classificate cum'è critiche. Trà elle, anu scupertu una vulnerabilità in u stack TCP OpenBSD chì era rimasta senza rilevazione per 27 anni, chì permetteva crash di u sistema à distanza. Anu ancu scupertu una vulnerabilità di 16 anni in l'implementazione di u codec H.264 da parte di u prugettu FFmpeg, è ancu vulnerabilità in i codec H.265 è av1, sfruttate durante u processamentu di cuntenutu appositamente cuncipitu.
Parechje vulnerabilità sò state scuperte in u kernel Linux chì puderianu permette à un utilizatore senza privilegi d'ottene privilegi di root. L'incatenamentu di queste vulnerabilità hà permessu di creà exploit chì puderianu ottene privilegi di root aprendu pagine speciali in un navigatore web. Hè statu ancu creatu un exploit chì permetteva l'esecuzione di codice cù privilegi di root mandendu pacchetti di rete appositamente cuncepiti à un servitore NFS FreeBSD.
Una vulnerabilità hè stata identificata in un sistema di virtualizazione scrittu in un linguaghju chì furnisce strumenti di gestione di memoria sicuri. Sta vulnerabilità permette potenzialmente l'esecuzione di codice da u latu host per via di a manipulazione di u sistema guest (a vulnerabilità ùn hè micca numinata perchè ùn hè ancu stata riparata, ma pare esse presente in un bloccu micca sicuru in u codice Rust). E vulnerabilità sò state trovate in tutti i navigatori web è e biblioteche crittografiche populari. E vulnerabilità di iniezione SQL sò state identificate in varie applicazioni web.
Source: opennet.ru
