Anthropic je najavio projekt Glasswing, koji će omogućiti pristup preliminarnoj verziji njihovog Claude Mythos AI modela u svrhu identificiranja ranjivosti i poboljšanja sigurnosti kritičnog softvera. Sudionici projekta uključuju Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA i Palo Alto Networks. Otprilike 40 dodatnih organizacija također je primilo pozivnice za sudjelovanje.
Objavljen u veljači, Claude Opus 4.6 AI model postigao je nove razine performansi u područjima kao što su otkrivanje ranjivosti, otkrivanje i ispravljanje grešaka, pregled promjena i generiranje koda. Eksperimenti s ovim AI modelom omogućili su identifikaciju preko 500 ranjivosti u projektima otvorenog koda i generiranje C kompajlera sposobnog za izgradnju Linux kernela. Međutim, Claude Opus 4.6 pokazao se loše u stvaranju funkcionalnih exploita.
Prema Anthropicu, model "Claude Mythos" sljedeće generacije značajno nadmašuje Claude Opus 4.6 u stvaranju spremnih za korištenje exploita. Od nekoliko stotina pokušaja stvaranja exploita za ranjivosti identificirane u Firefoxovom JavaScript engineu, samo su dva bila uspješna s Claude Opusom 4.6. Prilikom ponavljanja eksperimenta korištenjem preliminarne verzije Mythos modela, funkcionalni exploiti stvoreni su 181 put - stopa uspjeha porasla je s gotovo nule na 72.4%.
Nadalje, Claude Mythos značajno proširuje svoje mogućnosti otkrivanja ranjivosti i grešaka. To, u kombinaciji s pogodnošću za razvoj iskorištavanja, stvara nove rizike za industriju: iskorištavanja za nezakrpane zero-day ranjivosti mogu stvoriti neprofesionalci u roku od nekoliko sati. Napominje se da su Mythoove mogućnosti otkrivanja i iskorištavanja ranjivosti dosegle profesionalnu razinu, nedovoljne samo za najiskusnije profesionalce.
Budući da otvaranje neograničenog pristupa modelu umjetne inteligencije s takvim mogućnostima zahtijeva pripremu industrije, odlučeno je da se preliminarna verzija u početku otvori odabranoj skupini stručnjaka za provođenje identifikacije ranjivosti i rada na ispravljanju zakrpa u kritičnim softverskim proizvodima i softveru otvorenog koda. Za financiranje inicijative dodijeljena je subvencija u obliku tokena od 100 milijuna dolara, a 4 milijuna dolara bit će donirano organizacijama koje podržavaju sigurnost projekata otvorenog koda.
U CyberGym benchmarku, koji procjenjuje sposobnosti modela za otkrivanje ranjivosti, model Mythos postigao je rezultat od 83.1%, dok je Opus 4.6 postigao rezultat od 66.6%. U testovima kvalitete koda, modeli su pokazali sljedeće performanse:
Tijekom eksperimenta, Anthropic je, koristeći Mythos AI model, uspio identificirati nekoliko tisuća prethodno nepoznatih (0-day) ranjivosti u samo nekoliko tjedana, od kojih su mnoge ocijenjene kritičnima. Među njima su otkrili ranjivost u OpenBSD TCP stogu koja je ostala neotkrivena 27 godina, što je omogućavalo udaljene padove sustava. Također su otkrili 16 godina staru ranjivost u implementaciji H.264 kodeka u FFmpeg projektu, kao i ranjivosti u H.265 i av1 kodecima, iskorištene pri obradi posebno izrađenog sadržaja.
U Linux kernelu otkriveno je nekoliko ranjivosti koje su mogle omogućiti neprivilegiranom korisniku dobivanje root privilegija. Lančano povezivanje ovih ranjivosti omogućilo je stvaranje exploita koji su mogli dobiti root privilegije otvaranjem posebnih stranica u web pregledniku. Također je stvoren exploit koji je omogućio izvršavanje koda s root privilegijama slanjem posebno izrađenih mrežnih paketa na FreeBSD NFS poslužitelj.
U sustavu virtualizacije napisanom u jeziku koji pruža alate za sigurno upravljanje memorijom identificirana je ranjivost. Ova ranjivost potencijalno omogućuje izvršavanje koda na strani hosta manipulacijom gostujućeg sustava (ranjivost nije imenovana jer još nije ispravljena, ali čini se da je prisutna u nesigurnom bloku u Rust kodu). Ranjivosti su pronađene u svim popularnim web preglednicima i kriptografskim bibliotekama. Ranjivosti SQL injekcije identificirane su u raznim web aplikacijama.
Izvor: opennet.ru
