Anthropic ha anunciado los resultados iniciales de las pruebas de su versión preliminar del modelo de IA Mythos, que amplía significativamente sus capacidades para detectar errores, identificar vulnerabilidades y crear exploits prefabricados. Mediante el modelo de IA Mythos, Anthropic analizó más de mil proyectos importantes de código abierto e identificó 23 019 vulnerabilidades. De estas, 6202 fueron clasificadas como de alta o crítica gravedad.
De las 6202 vulnerabilidades clasificadas como peligrosas por el modelo de IA Mythos, 1752 fueron verificadas por investigadores de seguridad independientes. En 1587 casos (90.6 %), la vulnerabilidad fue confirmada, y en 1094 casos (62.4 %), el nivel de gravedad se mantuvo alto o crítico. Dado el índice actual de falsos positivos, se espera que de las 6202 vulnerabilidades peligrosas identificadas por el modelo de IA, aproximadamente 3900 (62.4 %) mantengan la calificación de gravedad alta del modelo, sin incluir las vulnerabilidades peligrosas identificadas por separado por 50 participantes del proyecto Glasswing.
Representantes de las empresas revisoras compartieron información sobre 467 vulnerabilidades verificadas con los responsables de proyectos de código abierto. Tras solicitudes independientes, empleados de Anthropic compartieron directamente información sobre 1129 problemas no verificados con los responsables. En total, los responsables de 281 proyectos de código abierto recibieron información sobre 1596 problemas y confirmaron la presencia de 1451 vulnerabilidades. Sin embargo, hasta la fecha solo se han corregido 97 problemas en los códigos fuente y se han emitido 88 informes públicos de vulnerabilidades.
Además, 50 participantes del proyecto Glasswing que tuvieron acceso anticipado al modelo Mythos identificaron más de 10 10 vulnerabilidades peligrosas en sus bases de código. Por ejemplo, Cloudflare encontró más de 2000 errores con Mythos, 400 de los cuales fueron clasificados como críticos y de alta gravedad. La tasa de falsos positivos de Cloudflare fue menor que la de las pruebas realizadas por humanos. Mozilla, al probar Firefox 150, encontró 271 vulnerabilidades con Mythos, diez veces más que las encontradas al probar Firefox 148 con el modelo Claude Opus 4.6.
A continuación se ofrece un ejemplo de un problema crítico que ya ha sido solucionado:
Vulnerabilidad (CVE-2026-5194) en la biblioteca criptográfica wolfSSL. Mythos logró desarrollar un exploit que permite a un atacante generar un certificado ECDSA falso para sitios web y cuentas de correo electrónico. servidores, que fue procesado como válido al ser verificado por la biblioteca wolfSSL. El problema se debió a la falta de una comprobación del tamaño del hash y del OID en el código, lo que permitió que se especificara un tamaño de hash menor al permitido en el certificado.
Fuente: opennet.ru
