Anthropic annoncerede Glasswing-projektet, som vil give adgang til en foreløbig version af deres Claude Mythos AI-model med det formål at identificere sårbarheder og forbedre sikkerheden i kritisk software. Projektdeltagerne inkluderer Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA og Palo Alto Networks. Cirka 40 yderligere organisationer har også modtaget invitationer til at deltage.
AI-modellen Claude Opus 4.6, der blev udgivet i februar, opnåede nye niveauer af ydeevne inden for områder som sårbarhedsdetektion, fejldetektion og -rettelser, ændringsgennemgang og kodegenerering. Eksperimenter med denne AI-model gjorde det muligt at identificere over 500 sårbarheder i open source-projekter og generere en C-compiler, der er i stand til at bygge Linux-kernen. Claude Opus 4.6 klarede sig dog dårligt med at skabe fungerende exploits.
Ifølge Anthropic overgår næste generations "Claude Mythos"-model Claude Opus 4.6 betydeligt i produktionen af brugsklare exploits. Ud af flere hundrede forsøg på at skabe exploits til sårbarheder identificeret i Firefox' JavaScript-motor, var kun to succesfulde med Claude Opus 4.6. Da eksperimentet blev gentaget med en foreløbig version af Mythos-modellen, blev der skabt fungerende exploits 181 gange - succesraten steg fra næsten nul til 72.4%.
Derudover udvider Claude Mythos sine muligheder for at opdage sårbarheder og fejl betydeligt. Dette, kombineret med dets egnethed til udvikling af exploits, skaber nye risici for branchen: exploits til upatchede zero-day-sårbarheder kan skabes af ikke-professionelle på få timer. Det bemærkes, at Mythos' evner til at opdage sårbarheder og udnytte dem har nået et professionelt niveau og kun er tilpas til de mest erfarne fagfolk.
Da det kræver forberedelse fra industrien at åbne ubegrænset adgang til en AI-model med sådanne funktioner, blev det besluttet i første omgang at åbne en foreløbig version for en udvalgt gruppe af eksperter, der skulle udføre arbejde med at identificere sårbarheder og rette patches i kritiske softwareprodukter og open source-software. For at finansiere initiativet er der afsat et tokentilskud på 100 millioner dollars, og 4 millioner dollars vil blive doneret til organisationer, der støtter sikkerheden i open source-projekter.
I CyberGym-benchmarken, som evaluerer modellers sårbarhedsdetekteringsevner, opnåede Mythos-modellen en score på 83.1%, mens Opus 4.6 opnåede en score på 66.6%. I kodekvalitetstests udviste modellerne følgende ydeevne:
Under eksperimentet var Anthropic, ved hjælp af Mythos AI-modellen, i stand til at identificere flere tusinde tidligere ukendte (0-dages) sårbarheder på blot et par uger, hvoraf mange blev vurderet som kritiske. Blandt dem opdagede de en sårbarhed i OpenBSD TCP-stakken, der havde været uopdaget i 27 år, hvilket tillod fjernstyrede systemnedbrud. De opdagede også en 16 år gammel sårbarhed i FFmpeg-projektets implementering af H.264-codec'en, samt sårbarheder i H.265- og av1-codecs'ene, der blev udnyttet under behandling af specialfremstillet indhold.
Adskillige sårbarheder blev opdaget i Linux-kernen, som kunne give en ikke-privilegeret bruger mulighed for at opnå root-rettigheder. Sammenkædning af disse sårbarheder gjorde det muligt at skabe exploits, der kunne opnå root-rettigheder ved at åbne særlige sider i en webbrowser. Der blev også skabt et exploit, der tillod kodeudførelse med root-rettigheder ved at sende specielt udformede netværkspakker til en FreeBSD NFS-server.
En sårbarhed er blevet identificeret i et virtualiseringssystem skrevet i et sprog, der leverer sikre hukommelsesstyringsværktøjer. Denne sårbarhed muliggør potentielt udførelse af kode på værtssiden gennem manipulation af gæstesystemet (sårbarheden er ikke navngivet, fordi den endnu ikke er blevet rettet, men den ser ud til at være til stede i en usikker blok i Rust-koden). Sårbarheder er blevet fundet i alle populære webbrowsere og kryptografiske biblioteker. SQL-injektionssårbarheder er blevet identificeret i forskellige webapplikationer.
Kilde: opennet.ru
