Anthropic-ek Glasswing proiektua iragarri du, eta horrek Claude Mythos AI ereduaren aurretiazko bertsio baterako sarbidea emango du, ahultasunak identifikatu eta software kritikoaren segurtasuna hobetzeko. Proiektuan parte hartzen dutenen artean daude Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA eta Palo Alto Networks. Beste 40 erakunde inguruk ere parte hartzeko gonbidapena jaso dute.
Otsailean kaleratua, Claude Opus 4.6 AI ereduak errendimendu maila berriak lortu zituen ahultasunen detekzioan, akatsak detektatzean eta konpontzean, aldaketak berrikustean eta kodea sortzean bezalako arloetan. AI eredu honekin egindako esperimentuei esker, 500 ahultasun baino gehiago identifikatu ahal izan ziren kode irekiko proiektuetan, eta Linux kernela eraikitzeko gai zen C konpiladore bat sortu zen. Hala ere, Claude Opus 4.6-k emaitza eskasak izan zituen ustiapen funtzionalak sortzeko orduan.
Anthropic-en arabera, hurrengo belaunaldiko "Claude Mythos" ereduak Claude Opus 4.6 baino askoz hobeto funtzionatzen du erabiltzeko prest dauden ustiapenak sortzeko orduan. Firefoxen JavaScript motorrean identifikatutako ahultasunetarako ustiapenak sortzeko ehunka saiakeretatik, bi bakarrik izan ziren arrakastatsuak Claude Opus 4.6-rekin. Mythos ereduaren aurretiazko bertsio bat erabiliz esperimentua errepikatzean, 181 aldiz sortu ziren ustiapen funtzionalak; arrakasta-tasa ia zerotik % 72.4ra igo zen.
Gainera, Claude Mythos-ek nabarmen zabaltzen ditu bere ahultasunak eta akatsak detektatzeko gaitasunak. Honek, ustiapenak garatzeko duen egokitasunarekin batera, arrisku berriak sortzen ditu industriarentzat: konpondu gabeko zero-day ahultasunen ustiapenak profesionalak ez direnek sor ditzakete ordu gutxitan. Adierazi da Mythos-en ahultasunak detektatzeko eta ustiatzeko gaitasunak maila profesionalera iritsi direla, profesional esperientziadunenen azpitik bakarrik geratuz.
Gaitasun horiek dituen IA eredu baterako sarbide mugagabea irekitzeak industriaren prestaketa eskatzen duenez, hasierako bertsio bat aditu talde hautatu bati irekitzea erabaki zen, software produktu kritikoetan eta software librean ahultasunak identifikatzeko eta konpontzeko lanak egiteko. Ekimen hau finantzatzeko, 100 milioi dolarreko token diru-laguntza esleitu da, eta 4 milioi dolar emango zaizkie kode irekiko proiektuen segurtasuna laguntzen duten erakundeei.
CyberGym erreferentziazko proban, modeloen ahultasunak detektatzeko gaitasunak ebaluatzen dituena, Mythos modeloak % 83.1eko puntuazioa lortu zuen, eta Opus 4.6-k, berriz, % 66.6koa. Kodearen kalitate-probetan, modeloek errendimendu hau erakutsi zuten:
Esperimentuan zehar, Anthropic-ek, Mythos AI eredua erabiliz, aste gutxitan lehenago ezezagunak ziren (0 eguneko) milaka ahultasun identifikatu ahal izan zituen, eta horietako asko kritiko sailkatu ziren. Horien artean, OpenBSD TCP pilan 27 urtez detektatu gabe egon zen ahultasun bat aurkitu zuten, sistemaren urruneko kraskadurak ahalbidetuz. FFmpeg proiektuaren H.264 kodekaren inplementazioan 16 urteko ahultasun bat ere aurkitu zuten, baita H.265 eta av1 kodeketan ahultasunak ere, bereziki landutako edukia prozesatzean ustiatzen zirenak.
Linux kernelean hainbat ahultasun aurkitu ziren, pribilegiorik gabeko erabiltzaile bati root pribilegioak lortzeko aukera emanez. Ahultasun hauek kateatzeak web arakatzaile batean orrialde bereziak irekiz root pribilegioak lortzeko aukera ematen zuen ustiapenak sortzea ahalbidetu zuen. Era berean, ustiapen bat sortu zen, root pribilegioekin kodea exekutatzeko aukera ematen zuena, sareko pakete berezi landuak FreeBSD NFS zerbitzari batera bidaliz.
Ahultasun bat identifikatu da memoria kudeatzeko tresna seguruak eskaintzen dituen hizkuntza batean idatzitako birtualizazio sistema batean. Ahultasun honek host aldeko kodea exekutatzea ahalbidetzen du gonbidatu sistemaren manipulazioaren bidez (ahultasuna ez da izendatu oraindik konpondu ez delako, baina badirudi Rust kodeko bloke ez-seguru batean dagoela). Ahultasunak web arakatzaile eta liburutegi kriptografiko ezagun guztietan aurkitu dira. SQL injekzio ahultasunak hainbat web aplikaziotan identifikatu dira.
Iturria: opennet.ru
