Anthropic anunciou os resultados iniciais das probas da súa versión preliminar do modelo de IA Mythos, que amplía significativamente as súas capacidades para atopar erros, identificar vulnerabilidades e escribir exploits xa feitos. Usando o modelo de IA Mythos, Anthropic analizou máis de mil proxectos importantes de código aberto, identificando 23019 vulnerabilidades. 6202 destas vulnerabilidades foron cualificadas como altas ou críticas.
Das 6202 vulnerabilidades clasificadas como perigosas polo modelo de IA Mythos, 1752 foron verificadas por investigadores de seguridade independentes. En 1587 casos (90.6 %), a vulnerabilidade confirmouse e en 1094 casos (62.4 %), o nivel de gravidade mantívose alto ou crítico. Dada a taxa actual de falsos positivos, espérase que das 6202 vulnerabilidades perigosas identificadas polo modelo de IA, aproximadamente 3900 (62.4 %) manteñan a clasificación de gravidade alta do modelo, sen incluír as vulnerabilidades perigosas identificadas por separado por 50 participantes do proxecto Glasswing.
Representantes das empresas revisoras compartiron información sobre 467 vulnerabilidades verificadas cos responsables do mantemento de proxectos de código aberto. Tras solicitudes separadas, os empregados de Anthropic compartiron directamente información sobre 1129 problemas non verificados cos responsables do mantemento. En total, os responsables do mantemento de 281 proxectos de código aberto recibiron información sobre 1596 problemas e confirmaron a presenza de 1451 vulnerabilidades. Non obstante, ata o de agora só se corrixiron 97 problemas nas bases de código e emitironse 88 informes públicos de vulnerabilidade.
Ademais, segundo se informou, 50 participantes do proxecto Glasswing aos que se lles deu acceso anticipado ao modelo Mythos identificaron máis de 10 000 vulnerabilidades perigosas nas súas bases de código. Por exemplo, Cloudflare atopou máis de 2000 erros usando Mythos, 400 dos cales foron cualificados como altos e críticos. A taxa de falsos positivos de Cloudflare foi inferior á das probas con humanos. Mozilla, ao probar Firefox 150, atopou 271 vulnerabilidades usando Mythos, o que é 10 veces máis que o número atopado ao probar Firefox 148 usando o modelo Claude Opus 4.6.
Ofrécese un exemplo dun problema crítico que xa foi solucionado:
vulnerabilidade (CVE-2026-5194) na biblioteca criptográfica wolfSSL. Mythos foi quen de preparar unha vulnerabilidade que permite a un atacante xerar un certificado ECDSA falso para sitios web e contas de correo electrónico. servidores, que foi procesado como válido cando a biblioteca wolfSSL o verificou. O problema debeuse a que faltaba un tamaño de hash e unha comprobación OID no código, o que permitía especificar un tamaño de hash menor do permitido no certificado.
Fonte: opennet.ru
