Anthropic ngumumake proyek Glasswing, sing bakal nyedhiyakake akses menyang versi awal saka model AI Claude Mythos kanggo tujuan ngenali kerentanan lan ningkatake keamanan piranti lunak penting. Peserta proyek kalebu Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, lan Palo Alto Networks. Kira-kira 40 organisasi tambahan uga wis nampa undhangan kanggo melu.
Dirilis ing wulan Februari, model AI Claude Opus 4.6 entuk tingkat kinerja anyar ing babagan kayata deteksi kerentanan, deteksi lan perbaikan bug, review pangowahan, lan generasi kode. Eksperimen karo model AI iki ngidini identifikasi luwih saka 500 kerentanan ing proyek sumber terbuka lan generasi kompiler C sing bisa mbangun kernel Linux. Nanging, Claude Opus 4.6 nduweni kinerja sing kurang apik ing nggawe eksploitasi sing bisa digunakake.
Miturut Anthropic, model "Claude Mythos" generasi sabanjure luwih unggul tinimbang Claude Opus 4.6 ing babagan ngasilake eksploitasi sing siap digunakake. Saka atusan upaya kanggo nggawe eksploitasi kanggo kerentanan sing diidentifikasi ing mesin JavaScript Firefox, mung loro sing sukses karo Claude Opus 4.6. Nalika mbaleni eksperimen nggunakake versi awal model Mythos, eksploitasi sing bisa digunakake digawe kaping 181—tingkat sukses mundhak saka meh nol dadi 72.4%.
Salajengipun, Claude Mythos ngembangaken kemampuan kerentanan lan deteksi bug kanthi signifikan. Iki, digabungake karo kesesuaian kanggo pangembangan eksploitasi, nggawe risiko anyar kanggo industri: eksploitasi kanggo kerentanan zero-day sing durung ditambal bisa digawe dening non-profesional sajrone sawetara jam. Perlu dicathet yen kemampuan deteksi lan eksploitasi kerentanan Mythos wis tekan tingkat profesional, mung kurang saka profesional sing paling berpengalaman.
Amarga mbukak akses tanpa watesan menyang model AI kanthi kemampuan kasebut mbutuhake persiapan industri, mula diputusake kanggo mbukak versi awal kanggo klompok ahli pilihan kanggo nindakake identifikasi kerentanan lan kerja tambalan ing produk piranti lunak kritis lan piranti lunak sumber terbuka. Kanggo mbiayai inisiatif kasebut, subsidi token $100 yuta wis dialokasikan, lan $4 yuta bakal disumbangake menyang organisasi sing ndhukung keamanan proyek sumber terbuka.
Ing patokan CyberGym, sing ngevaluasi kemampuan deteksi kerentanan model, model Mythos entuk skor 83.1%, dene Opus 4.6 entuk skor 66.6%. Ing tes kualitas kode, model kasebut nduduhake kinerja ing ngisor iki:
Sajrone eksperimen kasebut, Anthropic, nggunakake model Mythos AI, bisa ngenali pirang-pirang ewu kerentanan sing sadurunge ora dingerteni (0 dina) mung sajrone sawetara minggu, akeh sing dianggep kritis. Antarane, dheweke nemokake kerentanan ing tumpukan OpenBSD TCP sing ora bisa dideteksi sajrone 27 taun, sing ngidini sistem crash jarak jauh. Dheweke uga nemokake kerentanan umur 16 taun ing implementasi codec H.264 proyek FFmpeg, uga kerentanan ing codec H.265 lan av1, sing dieksploitasi nalika ngolah konten sing digawe khusus.
Sawetara kerentanan ditemokake ing kernel Linux sing bisa ngidini pangguna sing ora duwe hak istimewa entuk hak akses root. Nggandhengake kerentanan kasebut ngidini eksploitasi digawe sing bisa entuk hak akses root kanthi mbukak kaca khusus ing browser web. Eksploitasi uga digawe sing ngidini eksekusi kode kanthi hak akses root kanthi ngirim paket jaringan sing digawe khusus menyang server FreeBSD NFS.
Kerentanan wis diidentifikasi ing sistem virtualisasi sing ditulis nganggo basa sing nyedhiyakake alat manajemen memori sing aman. Kerentanan iki nduweni potensi kanggo eksekusi kode sisih host liwat manipulasi sistem tamu (kerentanan kasebut ora dijenengi amarga durung didandani, nanging katon ana ing blok sing ora aman ing kode Rust). Kerentanan wis ditemokake ing kabeh browser web populer lan perpustakaan kriptografi. Kerentanan injeksi SQL wis diidentifikasi ing macem-macem aplikasi web.
Source: opennet.ru
