Anthropic компаниясы осалдықтарды анықтау және маңызды бағдарламалық жасақтаманың қауіпсіздігін жақсарту мақсатында Claude Mythos AI моделінің алдын ала нұсқасына қол жеткізуді қамтамасыз ететін Glasswing жобасын жариялады. Жобаға қатысушыларға Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA және Palo Alto Networks кіреді. Шамамен 40 қосымша ұйым қатысуға шақыру алды.
Ақпан айында шығарылған Claude Opus 4.6 AI моделі осалдықтарды анықтау, қателерді анықтау және түзету, өзгерістерді қарау және кодты генерациялау сияқты салаларда жаңа өнімділік деңгейлеріне қол жеткізді. Осы AI моделімен жүргізілген эксперименттер ашық бастапқы коды бар жобалардағы 500-ден астам осалдықтарды анықтауға және Linux ядросын құруға қабілетті C компиляторын жасауға мүмкіндік берді. Дегенмен, Claude Opus 4.6 жұмыс эксплойттарын жасауда нашар нәтиже көрсетті.
Anthropic мәліметтері бойынша, келесі буын «Claude Mythos» моделі пайдалануға дайын эксплойттарды жасауда Claude Opus 4.6 нұсқасынан айтарлықтай асып түседі. Firefox JavaScript қозғалтқышында анықталған осалдықтарға арналған эксплойттарды жасауға жасалған бірнеше жүз әрекеттің тек екеуі ғана Claude Opus 4.6 нұсқасымен сәтті болды. Mythos моделінің алдын ала нұсқасын пайдаланып экспериментті қайталаған кезде жұмыс істейтін эксплойттар 181 рет жасалды — сәттілік деңгейі нөлден дерлік 72.4%-ға дейін өсті.
Сонымен қатар, Claude Mythos өзінің осалдықтары мен қателерді анықтау мүмкіндіктерін айтарлықтай кеңейтеді. Бұл эксплойттарды әзірлеуге жарамдылығымен бірге сала үшін жаңа тәуекелдер туғызады: жөнделмеген нөлдік күндік осалдықтарға арналған эксплойттарды кәсіби емес мамандар бірнеше сағат ішінде жасай алады. Mythos осалдықтарын анықтау және пайдалану мүмкіндіктері кәсіби деңгейге жетіп, тек ең тәжірибелі мамандардан ғана артта қалғаны атап өтілді.
Мұндай мүмкіндіктері бар жасанды интеллект моделіне шектеусіз қол жеткізуді ашу салалық дайындықты қажет ететіндіктен, бастапқыда маңызды бағдарламалық өнімдер мен ашық бастапқы кодты бағдарламалық жасақтамадағы осалдықтарды анықтау және түзету жұмыстарын жүргізу үшін алдын ала нұсқасын таңдаулы сарапшылар тобына ашу туралы шешім қабылданды. Бастаманы қаржыландыру үшін 100 миллион долларлық токендік субсидия бөлінді, ал 4 миллион доллар ашық бастапқы кодты жобалардың қауіпсіздігін қолдайтын ұйымдарға беріледі.
Модельдердің осалдықты анықтау мүмкіндіктерін бағалайтын CyberGym эталонында Mythos моделі 83.1% ұпай жинады, ал Opus 4.6 66.6% ұпай жинады. Код сапасын тексеру кезінде модельдер келесі өнімділікті көрсетті:
Тәжірибе барысында Anthropic компаниясы Mythos AI моделін пайдаланып, бірнеше апта ішінде бұрын белгісіз болған бірнеше мың (0 күндік) осалдықтарды анықтай алды, олардың көпшілігі маңызды деп бағаланды. Олардың ішінде олар OpenBSD TCP стегінде 27 жыл бойы анықталмаған, қашықтағы жүйенің істен шығуына мүмкіндік беретін осалдықты анықтады. Сондай-ақ, олар FFmpeg жобасының H.264 кодегін енгізуінде 16 жылдық осалдықты, сондай-ақ арнайы жасалған мазмұнды өңдеу кезінде пайдаланылатын H.265 және av1 кодектеріндегі осалдықтарды анықтады.
Linux ядросында артықшылығы жоқ пайдаланушыға root құқықтарын алуға мүмкіндік беретін бірнеше осалдық анықталды. Бұл осалдықтарды біріктіру веб-шолғышта арнайы беттерді ашу арқылы root құқықтарын алуға мүмкіндік беретін эксплойттарды жасауға мүмкіндік берді. Сондай-ақ, FreeBSD NFS серверіне арнайы жасалған желілік пакеттерді жіберу арқылы root құқықтарымен кодты орындауға мүмкіндік беретін эксплойт жасалды.
Қауіпсіз жадты басқару құралдарын ұсынатын тілде жазылған виртуалдандыру жүйесінде осалдық анықталды. Бұл осалдық қонақ жүйесін манипуляциялау арқылы хост жағында кодты орындауға мүмкіндік береді (осалдық әлі түзетілмегендіктен, оған ат қойылмаған, бірақ ол Rust кодындағы қауіпті блокта бар сияқты). Осалдықтар барлық танымал веб-шолғыштарда және криптографиялық кітапханаларда табылды. SQL инъекциясының осалдықтары әртүрлі веб-қосымшаларда анықталды.
Ақпарат көзі: opennet.ru
