Anthropic je objavio početne rezultate testiranja svoje preliminarne verzije Mythos AI modela, koji značajno proširuje njegove mogućnosti za pronalaženje grešaka, identificiranje ranjivosti i pisanje gotovih exploita. Koristeći Mythos AI model, Anthropic je skenirao preko tisuću važnih projekata otvorenog koda, identificirajući 23 019 ranjivosti. 6202 od ovih ranjivosti ocijenjeno je kao visoke ili kritične.
Od 6202 ranjivosti koje je Mythos AI model klasificirao kao opasne, neovisni sigurnosni istraživači su potvrdili 1752. U 1587 slučajeva (90.6%) ranjivost je potvrđena, a u 1094 slučaja (62.4%) razina ozbiljnosti ostala je visoka ili kritična. S obzirom na trenutnu stopu lažno pozitivnih rezultata, očekuje se da će od 6202 opasne ranjivosti identificirane AI modelom, otprilike 3900 (62.4%) zadržati visoku ocjenu ozbiljnosti modela, ne uključujući opasne ranjivosti koje je zasebno identificiralo 50 sudionika Glasswing projekta.
Informacije o 467 provjerenih ranjivosti podijeljene su s održavateljima projekata otvorenog koda od strane predstavnika tvrtki koje su ih pregledavale. Na odvojene zahtjeve, zaposlenici Anthropica izravno su s održavateljima podijelili informacije o 1129 neprovjerenih problema. Ukupno su održavatelji 281 projekta otvorenog koda primili informacije o 1596 problema i potvrdili prisutnost 1451 ranjivosti. Međutim, do sada je u kodnim bazama ispravljeno samo 97 problema, a izdano je 88 javnih izvješća o ranjivostima.
Nadalje, 50 sudionika Glasswing projekta koji su dobili rani pristup Mythos modelu navodno je identificiralo preko 10 000 opasnih ranjivosti u svojim kodnim bazama. Na primjer, Cloudflare je pronašao preko 2000 grešaka koristeći Mythos, od kojih je 400 ocijenjeno kao visoko i kritično. Stopa lažno pozitivnih rezultata Cloudflarea bila je niža od one kod ljudskog testiranja. Mozilla je prilikom testiranja Firefoxa 150 pronašla 271 ranjivost koristeći Mythos, što je 10 puta više od broja pronađenog prilikom testiranja Firefoxa 148 pomoću modela Claude Opus 4.6.
Navodi se primjer kritičnog problema koji je već riješen:
ranjivost (CVE-2026-5194) u kriptografskoj biblioteci wolfSSL. Mythos je uspio pripremiti iskorištavanje koje napadaču omogućuje generiranje lažnog ECDSA certifikata za web stranice i račune e-pošte. poslužitelji, koji je obrađen kao valjan kada ga je provjerila wolfSSL biblioteka. Problem je uzrokovan nedostajućom provjerom veličine hash-a i OID-a u kodu, što je omogućilo da se u certifikatu navede manja veličina hash-a od dopuštene.
Izvor: opennet.ru
