Anthropic anoncis la projekton Glasswing, kiu donos aliron al prepara versio de ĝia AI-modelo Claude Mythos por identigi vundeblecojn kaj plibonigi la sekurecon de kritika programaro. Inter la projektpartoprenantoj estas la Linuksa Fonduso, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA kaj Palo Alto Networks. Ĉirkaŭ 40 pliaj organizaĵoj ankaŭ ricevis invitojn por partopreni.
Publikigita en februaro, la Claude Opus 4.6 AI-modelo atingis novajn nivelojn de rendimento en areoj kiel vundeblecodetekto, cimodetekto kaj korektoj, ŝanĝojrevizio kaj kodgenerado. Eksperimentoj kun ĉi tiu AI-modelo permesis la identigon de pli ol 500 vundeblecoj en malfermitkodaj projektoj kaj la generadon de C-kompililo kapabla konstrui la Linuksan kernon. Tamen, Claude Opus 4.6 funkciis malbone en kreado de funkciaj ekspluatoj.
Laŭ Anthropic, la modelo "Claude Mythos" de la sekva generacio signife superas Claude Opus 4.6 en produktado de pretaj uzeblaj ekspluatoj. El plurcent provoj krei ekspluatojn por vundeblecoj identigitaj en la JavaScript-motoro de Firefox, nur du sukcesis per Claude Opus 4.6. Ripetante la eksperimenton uzante preparan version de la modelo Mythos, funkciaj ekspluatoj estis kreitaj 181 fojojn — la sukcesprocento pliiĝis de preskaŭ nulo al 72.4%.
Krome, Claude Mythos signife vastigas siajn kapablojn por detekti vundeblecojn kaj cimojn. Ĉi tio, kombinita kun ĝia taŭgeco por disvolvi ekspluatojn, kreas novajn riskojn por la industrio: ekspluatoj por neflikitaj nul-tagaj vundeblecoj povas esti kreitaj de neprofesiuloj en kelkaj horoj. Rimarkinde, la kapabloj de Mythos por detekti kaj ekspluati vundeblecojn atingis profesiajn nivelojn, restante malpli ol la plej spertaj profesiuloj.
Ĉar malfermi senrestriktan aliron al AI-modelo kun tiaj kapabloj postulas industrian preparon, oni decidis komence malfermi preparan version al elektita grupo de fakuloj por fari laboron pri identigo kaj riparado de vundeblecoj en kritikaj programaroj kaj malfermitkoda programaro. Por financi la iniciaton, 100 milionoj da dolaroj estis asignitaj per ĵetonsubvencio, kaj 4 milionoj da dolaroj estos donacitaj al organizoj, kiuj subtenas la sekurecon de malfermitkodaj projektoj.
En la komparnormo CyberGym, kiu taksas la kapablojn de modeloj por detekti vundeblecojn, la modelo Mythos atingis poentaron de 83.1%, dum Opus 4.6 atingis poentaron de 66.6%. En kodkvalitaj testoj, la modeloj montris la jenan rendimenton:
Dum la eksperimento, Anthropic, uzante la Mythos AI-modelon, kapablis identigi plurmil antaŭe nekonatajn (0-tagajn) vundeblecojn en nur kelkaj semajnoj, multaj el kiuj estis taksitaj kritikaj. Inter ili, ili malkovris vundeblecon en la OpenBSD TCP-stako, kiu restis nerimarkita dum 27 jaroj, permesante malproksimajn sistemkraŝojn. Ili ankaŭ malkovris 16-jaraĝan vundeblecon en la efektivigo de la kodeko H.264 fare de la FFmpeg-projekto, same kiel vundeblecojn en la kodekoj H.265 kaj av1, ekspluatitajn dum prilaborado de speciale kreita enhavo.
Pluraj vundeblecoj estis malkovritaj en la Linuksa kerno, kiuj povus permesi al neprivilegia uzanto akiri radikajn rajtojn. Ĉenado de ĉi tiuj vundeblecoj kune ebligis krei ekspluataĵojn, kiuj povus akiri radikajn rajtojn malfermante specialajn paĝojn en retumilo. Ankaŭ ekspluataĵo estis kreita, kiu ebligis kodplenumon kun radikaj rajtoj sendante speciale kreitajn retpakaĵetojn al FreeBSD NFS-servilo.
Vundebleco estis identigita en virtualiga sistemo skribita en lingvo, kiu provizas sekurajn memorajn administradajn ilojn. Ĉi tiu vundebleco eble ebligas ekzekuton de kodo ĉe la gastigan flanko per manipulado de la gasta sistemo (la vundebleco ne estas nomita ĉar ĝi ankoraŭ ne estis riparita, sed ŝajnas, ke ĝi ĉeestas en nesekura bloko en la Rust-kodo). Vundeblecoj estis trovitaj en ĉiuj popularaj retumiloj kaj ĉifraj bibliotekoj. Vundeblecoj de SQL-injekto estis identigitaj en diversaj retaj aplikaĵoj.
fonto: opennet.ru
