Anthropic huet de Glasswing-Projet ugekënnegt, deen Zougang zu enger virleefeger Versioun vu sengem Claude Mythos KI-Modell fir d'Identifikatioun vu Schwachstelle an d'Verbesserung vun der Sécherheet vu kritescher Software gëtt. Zu de Projetparticipanten gehéieren d'Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA a Palo Alto Networks. Ongeféier 40 weider Organisatiounen hunn och Invitatiounen kritt fir matzemaachen.
De Claude Opus 4.6 KI-Modell, deen am Februar erauskoum, huet nei Leeschtungsniveauen a Beräicher wéi Schwachstelledetektioun, Bugdetektioun a -fixéierungen, Ännerungsiwwerpréiwung a Codegeneratioun erreecht. Experimenter mat dësem KI-Modell hunn et erméiglecht, iwwer 500 Schwachstelle an Open-Source-Projeten z'identifizéieren an e C-Compiler ze generéieren, deen de Linux-Kernel opbaue kann. Claude Opus 4.6 huet awer schlecht Resultater bei der Erstellung vu funktionéierende Exploits erreecht.
Laut Anthropic iwwertrëfft de Modell "Claude Mythos" vun der nächster Generatioun de Claude Opus 4.6 däitlech wat d'Produktioun vu gebrauchsfertige Exploiten ugeet. Vun e puer honnert Versich, Exploiten fir Schwachstelle ze kreéieren, déi am JavaScript-Motor vu Firefox identifizéiert goufen, waren nëmmen zwee mat Claude Opus 4.6 erfollegräich. Beim Widderhuelung vum Experiment mat enger virleefeger Versioun vum Mythos-Modell goufen 181 Mol funktionéierend Exploiten erstallt - d'Erfolgsquote ass vu bal Null op 72.4% geklommen.
Ausserdeem erweidert Claude Mythos seng Schwachstelle- a Bugdetektiounsfäegkeeten däitlech. Dëst, zesumme mat senger Gëeegentheet fir d'Entwécklung vu Exploiten, schaaft nei Risiken fir d'Industrie: Exploiten fir net gepatchte Zero-Day-Schwachstellen kënne vun Net-Professionneller bannent e puer Stonnen erstallt ginn. Et gëtt festgestallt, datt d'Mythos Schwachstelledetektiouns- an Exploitatiounsfäegkeeten e professionellt Niveau erreecht hunn, an nëmmen déi vun de erfuereneste Professionneller net auskommen.
Well d'Opmaache vun onbegrenzten Zougang zu engem KI-Modell mat sou Méiglechkeeten eng Virbereedung vun der Industrie erfuerdert, gouf decidéiert, ufanks eng virleefeg Versioun enger ausgewählter Grupp vun Experten opzemaachen, fir Schwachstelle-Identifikatiouns- a Patchaarbechten a kritesche Softwareprodukter an Open-Source-Software duerchzeféieren. Fir d'Initiativ ze finanzéieren, gouf eng Token-Subventioun vun 100 Milliounen Dollar zougedeelt, a 4 Milliounen Dollar ginn un Organisatiounen gespent, déi d'Sécherheet vun Open-Source-Projeten ënnerstëtzen.
Am CyberGym Benchmark, deen d'Fäegkeete vun de Modeller fir d'Detektioun vu Schwachstelle evaluéiert, huet de Mythos-Modell e Score vun 83.1% erreecht, während Opus 4.6 e Score vun 66.6% erreecht huet. A Codequalitéitstester hunn d'Modeller déi folgend Leeschtung gewisen:
Wärend dem Experiment konnt Anthropic, mat dem Mythos KI-Modell, an nëmmen e puer Wochen e puer dausend virdru onbekannt (0-Deeg) Schwachstellen identifizéieren, vun deenen der vill als kritesch bewäert goufen. Dorënner hunn si eng Schwachstelle am OpenBSD TCP-Stack entdeckt, déi 27 Joer laang onentdeckt bliwwe war, wat zu Systemabstürze vu Fernfunktiounen gefouert huet. Si hunn och eng 16 Joer al Schwachstelle an der Implementatioun vum H.264 Codec vum FFmpeg-Projet entdeckt, souwéi Schwachstellen an den H.265- an av1-Codecs, déi bei der Veraarbechtung vu speziell erstallten Inhalter ausgenotzt goufen.
Am Linux-Kernel goufen e puer Schwachstelle entdeckt, déi et engem onprivilegéierte Benotzer erméiglechen, Root-Privilegien ze kréien. Duerch d'Zesummeketten vun dëse Schwachstelle konnten Exploiten erstallt ginn, déi Root-Privilegien duerch d'Opmaache vu spezielle Säiten an engem Webbrowser kruten. Et gouf och en Exploit erstallt, deen d'Ausféierung vu Code mat Root-Privilegien erlaabt huet, andeems speziell erstallt Netzwierkpakete un e FreeBSD NFS-Server geschéckt goufen.
Eng Schwachstelle gouf an engem Virtualiséierungssystem identifizéiert, dat an enger Sprooch geschriwwe gouf, déi sécher Speicherverwaltungsinstrumenter ubitt. Dës Schwachstelle erlaabt potenziell d'Ausféierung vu Code op der Hostsäit duerch Manipulatioun vum Gaaschtsystem (d'Schwachstelle gëtt net genannt, well se nach net reparéiert gouf, awer se schéngt an engem onséchere Block am Rust-Code präsent ze sinn). Schwachstelle goufen an alle populäre Webbrowser a kryptographesche Bibliothéike fonnt. SQL-Injektiounsschwachstelle goufen a verschiddene Webapplikatiounen identifizéiert.
Source: opennet.ru
