شرکت آنتروپیک از پروژه Glasswing رونمایی کرد که دسترسی به نسخه اولیه مدل هوش مصنوعی Claude Mythos را به منظور شناسایی آسیبپذیریها و بهبود امنیت نرمافزارهای حیاتی فراهم میکند. شرکتکنندگان در این پروژه شامل بنیاد لینوکس، خدمات وب آمازون، اپل، برادکام، سیسکو، CrowdStrike، گوگل، JPMorganChase، مایکروسافت، انویدیا و شبکههای پالو آلتو هستند. تقریباً ۴۰ سازمان دیگر نیز دعوتنامههایی برای مشارکت دریافت کردهاند.
مدل هوش مصنوعی Claude Opus 4.6 که در ماه فوریه منتشر شد، به سطوح جدیدی از عملکرد در زمینههایی مانند تشخیص آسیبپذیری، تشخیص و رفع اشکال، بررسی تغییرات و تولید کد دست یافت. آزمایشها با این مدل هوش مصنوعی امکان شناسایی بیش از ۵۰۰ آسیبپذیری در پروژههای متنباز و تولید یک کامپایلر C با قابلیت ساخت هسته لینوکس را فراهم کرد. با این حال، Claude Opus 4.6 در ایجاد اکسپلویتهای کاربردی ضعیف عمل کرد.
طبق گفتهی Anthropic، مدل نسل بعدی "Claude Mythos" در تولید اکسپلویتهای آمادهی استفاده، به طور قابل توجهی از Claude Opus 4.6 بهتر عمل میکند. از چند صد تلاش برای ایجاد اکسپلویت برای آسیبپذیریهای شناسایی شده در موتور جاوا اسکریپت فایرفاکس، تنها دو مورد با Claude Opus 4.6 موفقیتآمیز بود. هنگام تکرار آزمایش با استفاده از نسخهی اولیهی مدل Mythos، اکسپلویتهای کارآمد ۱۸۱ بار ایجاد شدند - میزان موفقیت از نزدیک به صفر به ۷۲.۴٪ افزایش یافت.
علاوه بر این، Claude Mythos قابلیتهای تشخیص آسیبپذیری و باگ خود را به طور قابل توجهی گسترش میدهد. این امر، همراه با مناسب بودن آن برای توسعهی اکسپلویت، خطرات جدیدی را برای صنعت ایجاد میکند: اکسپلویتهایی برای آسیبپذیریهای روز صفرِ وصله نشده میتوانند توسط افراد غیرحرفهای در عرض چند ساعت ایجاد شوند. لازم به ذکر است که قابلیتهای تشخیص آسیبپذیری و اکسپلویت Mythos به سطوح حرفهای رسیده است و تنها از باتجربهترین متخصصان عقب مانده است.
از آنجایی که دسترسی نامحدود به یک مدل هوش مصنوعی با چنین قابلیتهایی نیاز به آمادگی در صنعت دارد، تصمیم گرفته شد که در ابتدا یک نسخه اولیه برای گروهی منتخب از متخصصان باز شود تا شناسایی آسیبپذیریها و کارهای وصلهگذاری را در محصولات نرمافزاری حیاتی و نرمافزارهای متنباز انجام دهند. برای تأمین مالی این ابتکار، ۱۰۰ میلیون دلار یارانه توکن اختصاص داده شده است و ۴ میلیون دلار به سازمانهایی که از امنیت پروژههای متنباز حمایت میکنند، اهدا خواهد شد.
در بنچمارک CyberGym، که قابلیتهای تشخیص آسیبپذیری مدلها را ارزیابی میکند، مدل Mythos امتیاز ۸۳.۱٪ را کسب کرد، در حالی که Opus 4.6 امتیاز ۶۶.۶٪ را به دست آورد. در تستهای کیفیت کد، مدلها عملکرد زیر را نشان دادند:
در طول آزمایش، شرکت Anthropic با استفاده از مدل هوش مصنوعی Mythos توانست تنها در عرض چند هفته چندین هزار آسیبپذیری ناشناخته (0-day) را شناسایی کند که بسیاری از آنها بحرانی ارزیابی شدند. در میان آنها، آنها یک آسیبپذیری در پشته TCP سیستم OpenBSD کشف کردند که به مدت 27 سال کشف نشده بود و امکان خرابی سیستم از راه دور را فراهم میکرد. آنها همچنین یک آسیبپذیری 16 ساله در پیادهسازی کدک H.264 در پروژه FFmpeg و همچنین آسیبپذیریهایی در کدکهای H.265 و av1 کشف کردند که هنگام پردازش محتوای دستکاریشده خاص مورد سوءاستفاده قرار میگرفتند.
چندین آسیبپذیری در هسته لینوکس کشف شد که میتوانست به یک کاربر غیرمجاز اجازه دهد تا به امتیازات ریشه دست یابد. ترکیب این آسیبپذیریها با یکدیگر، امکان ایجاد اکسپلویتهایی را فراهم میکرد که میتوانستند با باز کردن صفحات خاص در یک مرورگر وب، امتیازات ریشه را به دست آورند. همچنین یک اکسپلویت ایجاد شد که با ارسال بستههای شبکهای دستکاریشده خاص به یک سرور FreeBSD NFS، امکان اجرای کد با امتیازات ریشه را فراهم میکرد.
یک آسیبپذیری در یک سیستم مجازیسازی که به زبانی نوشته شده است که ابزارهای مدیریت حافظه امن را ارائه میدهد، شناسایی شده است. این آسیبپذیری به طور بالقوه امکان اجرای کد سمت میزبان را از طریق دستکاری سیستم مهمان فراهم میکند (این آسیبپذیری نامگذاری نشده است زیرا هنوز برطرف نشده است، اما به نظر میرسد در یک بلوک ناامن در کد Rust وجود دارد). آسیبپذیریها در همه مرورگرهای وب محبوب و کتابخانههای رمزنگاری یافت شدهاند. آسیبپذیریهای تزریق SQL در برنامههای وب مختلف شناسایی شدهاند.
منبع: opennet.ru
