Anthropic anoncis la komencajn rezultojn de testado de sia prepara versio de la Mythos AI-modelo, kiu signife vastigas ĝiajn kapablojn por trovi cimojn, identigi vundeblecojn kaj skribi pretajn ekspluatojn. Uzante la Mythos AI-modelon, Anthropic skanis pli ol mil gravajn malfermitkodajn projektojn, identigante 23 019 vundeblecojn. 6 202 el ĉi tiuj vundeblecoj estis taksitaj kiel altaj aŭ kritikaj.
El la 6 202 vundeblecoj klasifikitaj kiel danĝeraj laŭ la AI-modelo Mythos, 1 752 estis kontrolitaj de sendependaj sekurecaj esploristoj. En 1 587 kazoj (90.6%), la vundebleco estis konfirmita, kaj en 1 094 kazoj (62.4%), la nivelo de graveco restis alta aŭ kritika. Konsiderante la nunan oftecon de falspozitivaj rezultoj, oni atendas, ke el la 6 202 danĝeraj vundeblecoj identigitaj de la AI-modelo, proksimume 3 900 (62.4%) retenos la altan gravecan rangigon de la modelo, ne inkluzivante la danĝerajn vundeblecojn identigitajn aparte de 50 partoprenantoj de la projekto Glasswing.
Informoj pri 467 konfirmitaj vundeblecoj estis dividitaj kun prizorgantoj de malfermitkodaj projektoj fare de reprezentantoj de la reviziantaj kompanioj. Laŭ apartaj petoj, dungitoj de Anthropic rekte dividis informojn pri 1 129 nekonfirmitaj problemoj kun prizorgantoj. Entute, prizorgantoj de 281 malfermitkodaj projektoj ricevis informojn pri 1 596 problemoj kaj konfirmis la ĉeeston de 1 451 vundeblecoj. Tamen, nur 97 problemoj estis riparitaj en la kodbazoj ĝis nun, kaj 88 publikaj vundeblecraportoj estis eldonitaj.
Krome, 50 partoprenantoj de la projekto Glasswing, kiuj ricevis fruan aliron al la modelo Mythos, laŭdire identigis pli ol 10 000 danĝerajn vundeblecojn en siaj kodbazoj. Ekzemple, Cloudflare trovis pli ol 2 000 cimojn uzante Mythos, el kiuj 400 estis taksitaj kiel altaj kaj kritikaj. La ofteco de falsaj pozitivoj de Cloudflare estis pli malalta ol tiu de homa testado. Mozilla, testante Firefox 150, trovis 271 vundeblecojn uzante Mythos, kio estas 10 fojojn pli ol la nombro trovita testante Firefox 148 uzante la modelon Claude Opus 4.6.
Ekzemplo de kritika problemo, kiu jam estis solvita, estas donita:
vundebleco (CVE-2026-5194) en la ĉifrita biblioteko wolfSSL. Mythos sukcesis prepari ekspluaton, kiu permesas al atakanto generi falsan ECDSA-atestilon por retejoj kaj retpoŝtaj kontoj. serviloj, kiu estis prilaborita kiel valida kiam kontrolita de la biblioteko wolfSSL. La problemon kaŭzis mankanta haŝograndeco kaj OID-kontrolo en la kodo, kio permesis specifi haŝograndecon pli malgrandan ol permesitan en la atestilo.
fonto: opennet.ru
