Anthropic tilkynnti Glasswing verkefnið, sem mun veita aðgang að bráðabirgðaútgáfu af Claude Mythos gervigreindarlíkani sínu í þeim tilgangi að bera kennsl á veikleika og bæta öryggi mikilvægs hugbúnaðar. Þátttakendur í verkefninu eru meðal annars Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA og Palo Alto Networks. Um það bil 40 viðbótarfyrirtæki hafa einnig fengið boð um þátttöku.
Gervigreindarlíkanið Claude Opus 4.6, sem gefið var út í febrúar, náði nýjum afköstum á sviðum eins og greiningu á veikleikum, villugreiningu og leiðréttingum, breytingaskoðun og kóðagerð. Tilraunir með þessu gervigreindarlíkani gerðu kleift að bera kennsl á yfir 500 veikleika í opnum hugbúnaðarverkefnum og búa til C-þýðanda sem getur smíðað Linux kjarnann. Hins vegar stóð Claude Opus 4.6 sig illa í að búa til virka galla.
Samkvæmt Anthropic skilar næsta kynslóð „Claude Mythos“ líkansins mun betri árangri en Claude Opus 4.6 í að framleiða tilbúnar til notkunar áreitni. Af nokkur hundruð tilraunum til að búa til áreitni fyrir veikleika sem fundust í JavaScript vél Firefox, tókst aðeins tveimur með Claude Opus 4.6. Þegar tilraunin var endurtekin með bráðabirgðaútgáfu af Mythos líkaninu, voru virk áreitni búin til 181 sinnum - árangurshlutfallið jókst úr næstum núlli í 72.4%.
Þar að auki eykur Claude Mythos verulega getu sína til að greina varnarleysi og villur. Þetta, ásamt því að það hentar vel til þróunar á nýrri hugbúnaðargalla, skapar nýjar áhættur fyrir greinina: Ófaglærðir geta búið til nýr hugbúnaðargalla fyrir óuppfærðar núlldagsvarnarleysi á örfáum klukkustundum. Það er tekið fram að getu Mythos til að greina og nýta varnarleysi hefur náð faglegum stigum og er aðeins undir reyndustu fagfólki komin.
Þar sem það krefst undirbúnings innan iðnaðarins að opna ótakmarkaðan aðgang að gervigreindarlíkani með slíkum möguleikum, var ákveðið að opna bráðabirgðaútgáfu fyrir völdum hópi sérfræðinga til að framkvæma greiningu á veikleikum og viðgerðir í mikilvægum hugbúnaðarvörum og opnum hugbúnaði. Til að fjármagna verkefnið hefur 100 milljónum dala verið úthlutað í táknstyrk og 4 milljónum dala verða gefnar til stofnana sem styðja öryggi opins hugbúnaðarverkefna.
Í CyberGym viðmiðunarprófinu, sem metur getu líkana til að greina veikleika, náði Mythos líkanið 83.1% einkunn, en Opus 4.6 náði 66.6%. Í prófunum á kóðagæðum sýndu líkönin eftirfarandi frammistöðu:
Í tilrauninni tókst Anthropic, með því að nota Mythos AI líkanið, að bera kennsl á nokkur þúsund áður óþekktar (0-daga) veikleika á aðeins nokkrum vikum, og margir þeirra voru flokkaðir sem alvarlegir. Meðal þeirra uppgötvuðu þeir veikleika í OpenBSD TCP staflanum sem hafði verið óuppgötvaður í 27 ár, sem gerði kleift að kerfishrun geti átt sér stað fjarlægt. Þeir uppgötvuðu einnig 16 ára gamlan veikleika í útfærslu FFmpeg verkefnisins á H.264 merkjamálinu, sem og veikleika í H.265 og av1 merkjamálunum, sem voru nýttir við vinnslu sérhannaðs efnis.
Nokkrar veikleikar fundust í kjarna Linux sem gátu leyft óforréttindum notanda að fá rótarréttindi. Með því að keðja þessar veikleika saman var hægt að búa til gagnapakka sem gátu fengið rótarréttindi með því að opna sérstakar síður í vafra. Einnig var búinn til gagnapakka sem leyfði keyrslu kóða með rótarréttindum með því að senda sérsmíðaða netpakka til FreeBSD NFS netþjóns.
Veikleiki hefur fundist í sýndarkerfi sem er skrifað í forritunarmáli sem býður upp á örugg minnisstjórnunartól. Þessi veikleiki gerir hugsanlega kleift að keyra kóða á hýsilhliðinni með því að stjórna gestakerfinu (veikillinn er ekki nefndur þar sem hann hefur ekki enn verið lagfærður, en hann virðist vera til staðar í óöruggri blokk í Rust kóðanum). Veikleikar hafa fundist í öllum vinsælum vöfrum og dulritunarbókasöfnum. Veikleikar í SQL innspýtingu hafa fundist í ýmsum vefforritum.
Heimild: opennet.ru
