„Anthropic“ paskelbė apie „Glasswing“ projektą, kuris suteiks prieigą prie preliminarios „Claude Mythos“ dirbtinio intelekto modelio versijos, siekiant nustatyti pažeidžiamumus ir pagerinti kritinės programinės įrangos saugumą. Projekte dalyvauja „Linux Foundation“, „Amazon Web Services“, „Apple“, „Broadcom“, „Cisco“, „CrowdStrike“, „Google“, „JPMorganChase“, „Microsoft“, „NVIDIA“ ir „Palo Alto Networks“. Pakvietimus dalyvauti gavo ir apie 40 kitų organizacijų.
Vasarį išleistas „Claude Opus 4.6“ dirbtinio intelekto modelis pasiekė naują našumo lygį tokiose srityse kaip pažeidžiamumų aptikimas, klaidų aptikimas ir taisymas, pakeitimų peržiūra ir kodo generavimas. Eksperimentai su šiuo dirbtinio intelekto modeliu leido nustatyti daugiau nei 500 pažeidžiamumų atvirojo kodo projektuose ir sukurti C kompiliatorių, galintį sukurti „Linux“ branduolį. Tačiau „Claude Opus 4.6“ prastai kūrė veikiančius pažeidžiamumus.
„Anthropic“ duomenimis, naujos kartos „Claude Mythos“ modelis gerokai lenkia „Claude Opus 4.6“ kurdamas paruoštus naudoti spragas. Iš kelių šimtų bandymų sukurti spragas, skirtas „Firefox“ „JavaScript“ variklyje nustatytiems pažeidžiamumams, tik du buvo sėkmingi naudojant „Claude Opus 4.6“. Pakartojant eksperimentą naudojant preliminarią „Mythos“ modelio versiją, veikiančios spragos buvo sukurtos 181 kartą – sėkmės rodiklis padidėjo nuo beveik nulio iki 72.4 %.
Be to, „Claude Mythos“ gerokai išplečia savo pažeidžiamumų ir klaidų aptikimo galimybes. Tai, kartu su jos tinkamumu kurti pažeidžiamumų išnaudojimo įrankius, sukuria naujų rizikų pramonei: neprofesionalai gali sukurti netaisytų nulinės dienos pažeidžiamumų išnaudojimo įrankius per kelias valandas. Pažymima, kad „Mythos“ pažeidžiamumų aptikimo ir išnaudojimo galimybės pasiekė profesionalų lygį ir yra mažesnės tik patyrusiems specialistams.
Kadangi neribotos prieigos prie dirbtinio intelekto modelio su tokiomis galimybėmis atvėrimas reikalauja pramonės pasirengimo, buvo nuspręsta iš pradžių atverti preliminarią versiją atrinktai ekspertų grupei, kad ši atliktų pažeidžiamumų identifikavimą ir taisymą svarbiuose programinės įrangos produktuose ir atvirojo kodo programinėje įrangoje. Iniciatyvai finansuoti skirta 100 mln. dolerių vertės subsidija, o 4 mln. dolerių bus paaukota organizacijoms, remiančioms atvirojo kodo projektų saugumą.
„CyberGym“ lyginamajame teste, kuriame vertinamos modelių pažeidžiamumų aptikimo galimybės, „Mythos“ modelis pasiekė 83.1 % balą, o „Opus 4.6“ – 66.6 %. Kodo kokybės testuose modeliai pademonstravo tokį našumą:
Eksperimento metu „Anthropic“, naudodama „Mythos“ dirbtinio intelekto modelį, vos per kelias savaites sugebėjo nustatyti kelis tūkstančius anksčiau nežinomų (0 dienų) pažeidžiamumų, iš kurių daugelis buvo įvertinti kaip kritiniai. Tarp jų jie aptiko 27 metus nepastebėtą „OpenBSD TCP“ steko pažeidžiamumą, kuris leido nuotoliniu būdu užstrigti sistemai. Jie taip pat aptiko 16 metų senumo „FFmpeg“ projekto H.264 kodeko įgyvendinimo pažeidžiamumą, taip pat H.265 ir av1 kodekų pažeidžiamumus, kurie buvo išnaudojami apdorojant specialiai sukurtą turinį.
„Linux“ branduolyje buvo aptiktos kelios spragos, kurios galėjo leisti neprivilegijuotam vartotojui gauti root teises. Šių spragų sujungimas leido sukurti spragas, kurios leido gauti root teises atidarant specialius puslapius žiniatinklio naršyklėje. Taip pat buvo sukurtas spragas, leidžiantis vykdyti kodą su root teisėmis, siunčiant specialiai sukurtus tinklo paketus į „FreeBSD“ NFS serverį.
Virtualizacijos sistemoje, parašytoje kalba, teikiančia saugius atminties valdymo įrankius, nustatyta pažeidžiamumas. Šis pažeidžiamumas potencialiai leidžia vykdyti kodą iš pagrindinio kompiuterio pusės manipuliuojant svečio sistema (pažeidžiamumas neįvardytas, nes jis dar nebuvo ištaisytas, tačiau atrodo, kad jis yra nesaugiame „Rust“ kodo bloke). Pažeidžiamumų aptikta visose populiariose interneto naršyklėse ir kriptografinėse bibliotekose. Įvairiose interneto programose aptikta SQL injekcijos pažeidžiamumų.
Šaltinis: opennet.ru
