Anthropic telah mengumumkan hasil awal pengujian versi pendahuluan model AI Mythos, yang secara signifikan memperluas kemampuannya untuk menemukan bug, mengidentifikasi kerentanan, dan menulis eksploitasi siap pakai. Menggunakan model AI Mythos, Anthropic memindai lebih dari seribu proyek sumber terbuka penting, mengidentifikasi 23019 kerentanan. 6202 dari kerentanan ini dinilai sebagai kerentanan tinggi atau kritis.
Dari 6202 kerentanan yang diklasifikasikan sebagai berbahaya oleh model AI Mythos, 1752 diverifikasi oleh peneliti keamanan independen. Dalam 1587 kasus (90.6%), kerentanan tersebut dikonfirmasi, dan dalam 1094 kasus (62.4%), tingkat keparahannya tetap tinggi atau kritis. Mengingat tingkat positif palsu saat ini, diperkirakan bahwa dari 6202 kerentanan berbahaya yang diidentifikasi oleh model AI, sekitar 3900 (62.4%) akan mempertahankan peringkat keparahan tinggi dari model tersebut, tidak termasuk kerentanan berbahaya yang diidentifikasi secara terpisah oleh 50 peserta proyek Glasswing.
Informasi tentang 467 kerentanan yang terverifikasi dibagikan kepada pengelola proyek sumber terbuka oleh perwakilan dari perusahaan peninjau. Atas permintaan terpisah, karyawan Anthropic secara langsung membagikan informasi tentang 1129 masalah yang belum terverifikasi kepada pengelola. Secara total, pengelola dari 281 proyek sumber terbuka menerima informasi tentang 1596 masalah dan mengkonfirmasi keberadaan 1451 kerentanan. Namun, hanya 97 masalah yang telah diperbaiki dalam basis kode sejauh ini, dan 88 laporan kerentanan publik telah diterbitkan.
Selain itu, 50 peserta proyek Glasswing yang diberi akses awal ke model Mythos dilaporkan mengidentifikasi lebih dari 10 kerentanan berbahaya dalam basis kode mereka. Misalnya, Cloudflare menemukan lebih dari 2000 bug menggunakan Mythos, 400 di antaranya dinilai sebagai tingkat tinggi dan kritis. Tingkat positif palsu Cloudflare lebih rendah daripada pengujian manusia. Mozilla, saat menguji Firefox 150, menemukan 271 kerentanan menggunakan Mythos, yang 10 kali lebih banyak daripada jumlah yang ditemukan saat menguji Firefox 148 menggunakan model Claude Opus 4.6.
Berikut diberikan contoh masalah kritis yang telah teratasi:
Kerentanan (CVE-2026-5194) pada pustaka kriptografi wolfSSL. Mythos berhasil menyiapkan eksploitasi yang memungkinkan penyerang untuk menghasilkan sertifikat ECDSA palsu untuk situs web dan akun email. server, yang diproses sebagai valid ketika diverifikasi oleh pustaka wolfSSL. Masalah ini disebabkan oleh kurangnya pemeriksaan ukuran hash dan OID dalam kode, yang memungkinkan ukuran hash yang lebih kecil dari yang diizinkan untuk ditentukan dalam sertifikat.
Sumber: opennet.ru
