Anthropic hat it Glasswing-projekt oankundige, dat tagong sil jaan ta in foarriedige ferzje fan har Claude Mythos AI-model mei it doel om kwetsberheden te identifisearjen en de feiligens fan krityske software te ferbetterjen. Projektdielnimmers binne ûnder oaren de Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, en Palo Alto Networks. Sawat 40 ekstra organisaasjes hawwe ek útnoegings krigen om mei te dwaan.
It Claude Opus 4.6 AI-model, útbrocht yn febrewaris, berikte nije prestaasjesnivo's op gebieten lykas kwetsberensdeteksje, bugdeteksje en -fixes, feroaringsbeoardieling en koadegeneraasje. Eksperiminten mei dit AI-model makken it mooglik om mear as 500 kwetsberheden yn iepen boarneprojekten te identifisearjen en in C-kompiler te generearjen dy't de Linux-kernel bouwe kin. Claude Opus 4.6 prestearre lykwols min yn it meitsjen fan wurkjende exploits.
Neffens Anthropic prestearret it "Claude Mythos"-model fan 'e folgjende generaasje signifikant better as Claude Opus 4.6 yn it produsearjen fan klear-foar-gebrûk exploits. Fan ferskate hûnderten pogingen om exploits te meitsjen foar kwetsberheden dy't identifisearre binne yn 'e JavaScript-motor fan Firefox, wiene mar twa suksesfol mei Claude Opus 4.6. By it werheljen fan it eksperimint mei in foarriedige ferzje fan it Mythos-model waarden 181 kear wurkjende exploits makke - it súksespersintaazje naam ta fan hast nul nei 72.4%.
Fierder wreidet Claude Mythos syn mooglikheden foar kwetsberens en bugdeteksje signifikant út. Dit, yn kombinaasje mei syn geskiktheid foar exploitûntwikkeling, skept nije risiko's foar de sektor: exploits foar net-patched zero-day kwetsberheden kinne binnen in pear oeren makke wurde troch net-professionals. It wurdt opmurken dat de mooglikheden foar kwetsberensdeteksje en eksploitaasje fan Mythos profesjonele nivo's berikt hawwe, en allinich tekoart komme oan de meast erfarne professionals.
Omdat it iepenjen fan ûnbeheinde tagong ta in AI-model mei sokke mooglikheden tarieding fan 'e yndustry fereasket, is besletten om yn earste ynstânsje in foarriedige ferzje iepen te stellen foar in selekte groep saakkundigen om kwetsberensidentifikaasje en patchwurk út te fieren yn krityske softwareprodukten en iepen boarne software. Om it inisjatyf te finansieren is in tokensubsydzje fan $100 miljoen tawiisd, en $4 miljoen sil skonken wurde oan organisaasjes dy't de feiligens fan iepen boarne projekten stypje.
Yn 'e CyberGym-benchmark, dy't de mooglikheden foar it opspoaren fan kwetsberens fan modellen evaluearret, helle it Mythos-model in skoare fan 83.1%, wylst Opus 4.6 in skoare fan 66.6% helle. Yn koadekwaliteitstests lieten de modellen de folgjende prestaasjes sjen:
Tidens it eksperimint koe Anthropic, mei it Mythos AI-model, yn mar in pear wiken ferskate tûzenen earder ûnbekende (0-dagen) kwetsberheden identifisearje, wêrfan in protte as kritysk beoardiele waarden. Dêrûnder ûntdutsen se in kwetsberens yn 'e OpenBSD TCP-stack dy't 27 jier lang net ûntdutsen wie, wêrtroch't systeemcrashes op ôfstân mooglik wiene. Se ûntdutsen ek in 16 jier âlde kwetsberens yn 'e ymplemintaasje fan 'e H.264-codec troch it FFmpeg-projekt, lykas kwetsberheden yn 'e H.265- en av1-codecs, dy't eksploitearre waarden by it ferwurkjen fan spesjaal makke ynhâld.
Ferskate kwetsberheden waarden ûntdutsen yn 'e Linux-kernel dy't in net-privileezjeare brûker tastean koene om root-rjochten te krijen. Troch dizze kwetsberheden oaninoar te keppeljen, koene exploits makke wurde dy't root-rjochten krije koene troch spesjale siden yn in webbrowser te iepenjen. Der waard ek in exploit makke dy't koade-útfiering mei root-rjochten mooglik makke troch spesjaal makke netwurkpakketten nei in FreeBSD NFS-tsjinner te stjoeren.
In kwetsberens is identifisearre yn in firtualisaasjesysteem skreaun yn in taal dy't feilige ûnthâldbehearark leveret. Dizze kwetsberens makket mooglik útfiering fan host-side koade mooglik troch manipulaasje fan it gastsysteem (de kwetsberens wurdt net neamd om't it noch net reparearre is, mar it liket oanwêzich te wêzen yn in ûnfeilich blok yn 'e Rust-koade). Kwetsberens binne fûn yn alle populêre webbrowsers en kryptografyske bibleteken. Kwetsberens foar SQL-ynjeksje binne identifisearre yn ferskate webapplikaasjes.
Boarne: opennet.ru
