Společnost Anthropic oznámila první výsledky testování své předběžné verze modelu Mythos AI, který výrazně rozšiřuje její možnosti v oblasti vyhledávání chyb, identifikace zranitelností a psaní hotových exploitů. Pomocí modelu Mythos AI společnost Anthropic naskenovala přes tisíc důležitých open-source projektů a identifikovala 23 019 zranitelností. 6 202 z těchto zranitelností bylo hodnoceno jako vysoce nebo kritické.
Z 6 202 zranitelností klasifikovaných jako nebezpečné modelem umělé inteligence Mythos bylo 1 752 ověřeno nezávislými bezpečnostními výzkumníky. V 1 587 případech (90.6 %) byla zranitelnost potvrzena a v 1 094 případech (62.4 %) zůstala úroveň závažnosti vysoká nebo kritická. Vzhledem k současné míře falešně pozitivních výsledků se očekává, že z 6 202 nebezpečných zranitelností identifikovaných modelem umělé inteligence si přibližně 3 900 (62.4 %) udrží vysoké hodnocení závažnosti modelu, a to nepočítaje nebezpečné zranitelnosti identifikované samostatně 50 účastníky projektu Glasswing.
Zástupci hodnotících společností sdíleli se správci open source projektů informace o 467 ověřených zranitelnostech. Na samostatné žádosti zaměstnanci společnosti Anthropic přímo sdíleli se správci informace o 1 129 neověřených problémech. Celkem správci 281 open source projektů obdrželi informace o 1 596 problémech a potvrdili přítomnost 1 451 zranitelností. V kódových databázích však bylo dosud opraveno pouze 97 problémů a bylo vydáno 88 veřejných hlášení o zranitelnostech.
Dále 50 účastníků projektu Glasswing, kteří získali předběžný přístup k modelu Mythos, údajně identifikovalo ve svých kódových základech přes 10 000 nebezpečných zranitelností. Například Cloudflare našel pomocí Mythosu přes 2 000 chyb, z nichž 400 bylo hodnoceno jako vysoce kritické. Míra falešně pozitivních výsledků Cloudflare byla nižší než u testování na lidech. Mozilla při testování Firefoxu 150 nalezla pomocí Mythosu 271 zranitelností, což je 10krát více než počet zjištěný při testování Firefoxu 148 s použitím modelu Claude Opus 4.6.
Uvádí se příklad kritického problému, který již byl opraven:
zranitelnost (CVE-2026-5194) v kryptografické knihovně wolfSSL. Společnosti Mythos se podařilo připravit zneužití, které útočníkovi umožňuje vygenerovat falešný certifikát ECDSA pro webové stránky a e-mailové účty. servery, který byl po ověření knihovnou wolfSSL zpracován jako platný. Problém byl způsoben chybějící kontrolou velikosti hash a OID v kódu, což umožňovalo zadat v certifikátu menší než povolenou velikost hash.
Zdroj: opennet.ru
