Anthropic har annonceret de første resultater af testen af deres foreløbige version af Mythos AI-modellen, som betydeligt udvider dens muligheder for at finde fejl, identificere sårbarheder og skrive færdige exploits. Ved hjælp af Mythos AI-modellen scannede Anthropic over tusind vigtige open source-projekter og identificerede 23019 sårbarheder. 6202 af disse sårbarheder blev vurderet som høje eller kritiske.
Ud af de 6202 sårbarheder, der blev klassificeret som farlige af Mythos AI-modellen, blev 1752 verificeret af uafhængige sikkerhedsforskere. I 1587 tilfælde (90.6 %) blev sårbarheden bekræftet, og i 1094 tilfælde (62.4 %) forblev alvorlighedsgraden høj eller kritisk. I betragtning af den nuværende falsk-positive rate forventes det, at ud af de 6202 farlige sårbarheder, der er identificeret af AI-modellen, vil cirka 3900 (62.4 %) bevare modellens høje alvorlighedsvurdering, eksklusive de farlige sårbarheder, der er identificeret separat af 50 Glasswing-projektdeltagere.
Information om 467 verificerede sårbarheder blev delt med vedligeholdere af open source-projekter af repræsentanter for de gennemgående virksomheder. Efter separate anmodninger delte Anthropic-medarbejdere direkte information om 1129 ubekræftede problemer med vedligeholderne. I alt modtog vedligeholdere af 281 open source-projekter information om 1596 problemer og bekræftede tilstedeværelsen af 1451 sårbarheder. Imidlertid er kun 97 problemer blevet rettet i kodebaserne indtil videre, og 88 offentlige sårbarhedsrapporter er blevet udstedt.
Derudover identificerede 50 Glasswing-projektdeltagere, der fik tidlig adgang til Mythos-modellen, angiveligt over 10 farlige sårbarheder i deres kodebaser. For eksempel fandt Cloudflare over 2000 fejl ved hjælp af Mythos, hvoraf 400 blev vurderet som høje og kritiske. Cloudflares falske positive rate var lavere end ved menneskelig testning. Mozilla fandt 271 sårbarheder ved test af Firefox 150 ved hjælp af Mythos, hvilket er 10 gange mere end antallet, der blev fundet ved test af Firefox 148 ved hjælp af Claude Opus 4.6-modellen.
Et eksempel på et kritisk problem, der allerede er blevet løst, er givet:
Sårbarhed (CVE-2026-5194) i wolfSSL-kryptografiske biblioteket. Mythos var i stand til at forberede en udnyttelse, der tillader en angriber at generere et falsk ECDSA-certifikat til websteder og e-mailkonti. servere, som blev behandlet som gyldig, da den blev verificeret af wolfSSL-biblioteket. Problemet skyldtes en manglende hashstørrelse og OID-kontrol i koden, hvilket tillod en angivelse af en mindre end tilladt hashstørrelse i certifikatet.
Kilde: opennet.ru
