Η Anthropic ανακοίνωσε το έργο Glasswing, το οποίο θα παρέχει πρόσβαση σε μια προκαταρκτική έκδοση του μοντέλου τεχνητής νοημοσύνης Claude Mythos με σκοπό τον εντοπισμό τρωτών σημείων και τη βελτίωση της ασφάλειας κρίσιμου λογισμικού. Στους συμμετέχοντες στο έργο περιλαμβάνονται οι Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA και Palo Alto Networks. Περίπου 40 επιπλέον οργανισμοί έχουν επίσης λάβει προσκλήσεις συμμετοχής.
Το μοντέλο τεχνητής νοημοσύνης Claude Opus 4.6, που κυκλοφόρησε τον Φεβρουάριο, πέτυχε νέα επίπεδα απόδοσης σε τομείς όπως η ανίχνευση ευπαθειών, η ανίχνευση και οι διορθώσεις σφαλμάτων, η αναθεώρηση αλλαγών και η δημιουργία κώδικα. Πειράματα με αυτό το μοντέλο τεχνητής νοημοσύνης επέτρεψαν τον εντοπισμό πάνω από 500 ευπαθειών σε έργα ανοιχτού κώδικα και τη δημιουργία ενός μεταγλωττιστή C ικανού να δημιουργήσει τον πυρήνα του Linux. Ωστόσο, το Claude Opus 4.6 δεν είχε καλή απόδοση στη δημιουργία λειτουργικών exploits.
Σύμφωνα με την Anthropic, το μοντέλο "Claude Mythos" επόμενης γενιάς ξεπερνά σημαντικά το Claude Opus 4.6 στην παραγωγή έτοιμων προς χρήση exploits. Από αρκετές εκατοντάδες προσπάθειες δημιουργίας exploits για ευπάθειες που εντοπίστηκαν στη μηχανή JavaScript του Firefox, μόνο δύο ήταν επιτυχείς με το Claude Opus 4.6. Κατά την επανάληψη του πειράματος χρησιμοποιώντας μια προκαταρκτική έκδοση του μοντέλου Mythos, δημιουργήθηκαν λειτουργικά exploits 181 φορές—το ποσοστό επιτυχίας αυξήθηκε από σχεδόν μηδέν σε 72.4%.
Επιπλέον, το Claude Mythos επεκτείνει σημαντικά τις δυνατότητες ανίχνευσης ευπαθειών και σφαλμάτων. Αυτό, σε συνδυασμό με την καταλληλότητά του για ανάπτυξη exploits, δημιουργεί νέους κινδύνους για τον κλάδο: exploits για μη ενημερωμένα zero-day ευπάθειες μπορούν να δημιουργηθούν από μη επαγγελματίες μέσα σε λίγες ώρες. Σημειώνεται ότι οι δυνατότητες ανίχνευσης και εκμετάλλευσης ευπαθειών του Mythos έχουν φτάσει σε επαγγελματικά επίπεδα, υπολείπονται μόνο των πιο έμπειρων επαγγελματιών.
Δεδομένου ότι το άνοιγμα απεριόριστης πρόσβασης σε ένα μοντέλο τεχνητής νοημοσύνης με τέτοιες δυνατότητες απαιτεί προετοιμασία του κλάδου, αποφασίστηκε αρχικά να ανοιχτεί μια προκαταρκτική έκδοση σε μια επιλεγμένη ομάδα εμπειρογνωμόνων για να διεξάγουν εργασίες εντοπισμού ευπαθειών και επιδιόρθωσης σε κρίσιμα προϊόντα λογισμικού και λογισμικό ανοιχτού κώδικα. Για τη χρηματοδότηση της πρωτοβουλίας, έχει διατεθεί επιδότηση 100 εκατομμυρίων δολαρίων σε μορφή συμβολαίου και 4 εκατομμύρια δολάρια θα δωρηθούν σε οργανισμούς που υποστηρίζουν την ασφάλεια έργων ανοιχτού κώδικα.
Στο benchmark του CyberGym, το οποίο αξιολογεί τις δυνατότητες ανίχνευσης ευπαθειών των μοντέλων, το μοντέλο Mythos πέτυχε βαθμολογία 83.1%, ενώ το Opus 4.6 πέτυχε βαθμολογία 66.6%. Στις δοκιμές ποιότητας κώδικα, τα μοντέλα επέδειξαν την ακόλουθη απόδοση:
Κατά τη διάρκεια του πειράματος, η Anthropic, χρησιμοποιώντας το μοντέλο Mythos AI, κατάφερε να εντοπίσει αρκετές χιλιάδες προηγουμένως άγνωστες (0 ημερών) ευπάθειες σε λίγες μόνο εβδομάδες, πολλές από τις οποίες αξιολογήθηκαν ως κρίσιμες. Μεταξύ αυτών, ανακάλυψαν μια ευπάθεια στη στοίβα TCP του OpenBSD που είχε παραμείνει απαρατήρητη για 27 χρόνια, επιτρέποντας απομακρυσμένες διακοπές λειτουργίας του συστήματος. Ανακάλυψαν επίσης μια ευπάθεια 16 ετών στην υλοποίηση του κωδικοποιητή H.264 στο έργο FFmpeg, καθώς και ευπάθειες στους κωδικοποιητές H.265 και av1, οι οποίες αξιοποιήθηκαν κατά την επεξεργασία ειδικά κατασκευασμένου περιεχομένου.
Στον πυρήνα του Linux ανακαλύφθηκαν αρκετές ευπάθειες που θα μπορούσαν να επιτρέψουν σε έναν μη προνομιούχο χρήστη να αποκτήσει δικαιώματα root. Η σύνδεση αυτών των ευπαθειών επέτρεψε τη δημιουργία exploits που θα μπορούσαν να αποκτήσουν δικαιώματα root ανοίγοντας ειδικές σελίδες σε ένα πρόγραμμα περιήγησης ιστού. Δημιουργήθηκε επίσης ένα exploit που επέτρεπε την εκτέλεση κώδικα με δικαιώματα root στέλνοντας ειδικά κατασκευασμένα πακέτα δικτύου σε έναν διακομιστή FreeBSD NFS.
Εντοπίστηκε ένα θέμα ευπάθειας σε ένα σύστημα εικονικοποίησης γραμμένο σε μια γλώσσα που παρέχει ασφαλή εργαλεία διαχείρισης μνήμης. Αυτό το θέμα ευπάθειας επιτρέπει ενδεχομένως την εκτέλεση κώδικα από την πλευρά του κεντρικού υπολογιστή μέσω χειραγώγησης του συστήματος guest (το θέμα ευπάθειας δεν κατονομάζεται επειδή δεν έχει ακόμη διορθωθεί, αλλά φαίνεται να υπάρχει σε ένα μη ασφαλές μπλοκ στον κώδικα Rust). Έχουν εντοπιστεί θέματα ευπάθειας σε όλα τα δημοφιλή προγράμματα περιήγησης ιστού και τις κρυπτογραφικές βιβλιοθήκες. Έχουν εντοπιστεί θέματα ευπάθειας στην έγχυση SQL σε διάφορες εφαρμογές ιστού.
Πηγή: opennet.ru
