Uzņēmums “Anthropic” ir paziņojis par projektu “Glasswing”, kas nodrošinās piekļuvi Kloda Mīta mākslīgā intelekta modeļa provizoriskai versijai, lai identificētu ievainojamības un uzlabotu kritiskas programmatūras drošību. Projekta dalībnieku vidū ir organizācija Linux fonds, kā arī Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA un Palo Alto Networks. Aptuveni 40 citas organizācijas ir saņēmušas uzaicinājumus piedalīties projektā.
Februārī izlaistais Claude Opus 4.6 mākslīgā intelekta modelis sasniedza jaunus veiktspējas līmeņus tādās jomās kā ievainojamību noteikšana, kļūdu noteikšana un labošana, izmaiņu pārskatīšana un koda ģenerēšana. Eksperimenti ar šo mākslīgā intelekta modeli ir ļāvuši identificēt vairāk nekā 500 ievainojamības atvērtā pirmkoda projektos un ģenerēt C kompilatoru, kas spēj veidot kodolu. LinuxTomēr Claude Opus 4.6 modelis slikti darbojās, radot darbojošos eksploitus.
Saskaņā ar Anthropic datiem, nākamās paaudzes "Claude Mythos" modelis ievērojami pārspēj Claude Opus 4.6, radot gatavus lietošanai paredzētus ekspluatācijas veidus. No vairākiem simtiem mēģinājumu izveidot ekspluatācijas veidus Firefox JavaScript dzinējā identificētajām ievainojamībām tikai divi bija veiksmīgi ar Claude Opus 4.6. Atkārtojot eksperimentu, izmantojot Mythos modeļa provizorisko versiju, darbojošies ekspluatācijas veidi tika izveidoti 181 reizi — veiksmes rādītājs palielinājās no gandrīz nulles līdz 72.4%.
Turklāt Claude Mythos ievērojami paplašina savas ievainojamību un kļūdu atklāšanas iespējas. Apvienojumā ar piemērotību ekspluatācijas materiālu izstrādei tas rada jaunus riskus nozarei: neprofesionāļi dažu stundu laikā var izveidot ekspluatācijas materiālus nelāpotām nulles dienas ievainojamībām. Jāatzīmē, ka Mythos ievainojamību atklāšanas un izmantošanas iespējas ir sasniegušas profesionālu līmeni, atpaliekot tikai no pieredzējušākajiem profesionāļiem.
Tā kā neierobežotas piekļuves nodrošināšana mākslīgā intelekta modelim ar šādām iespējām prasa nozares sagatavošanos, sākotnēji tika nolemts atvērt provizorisko versiju atlasītai ekspertu grupai, lai veiktu ievainojamību identificēšanu un labojumu veikšanu kritiskos programmatūras produktos un atvērtā pirmkoda programmatūrā. Lai finansētu iniciatīvu, ir piešķirta 100 miljonu ASV dolāru subsīdija, un 4 miljoni ASV dolāru tiks ziedoti organizācijām, kas atbalsta atvērtā pirmkoda projektu drošību.
CyberGym etalontestā, kas novērtē modeļu ievainojamību noteikšanas spējas, Mythos modelis sasniedza 83.1 % rezultātu, savukārt Opus 4.6 — 66.6 %. Koda kvalitātes testos modeļi uzrādīja šādu veiktspēju:
Eksperimenta laikā Anthropic, izmantojot Mythos mākslīgā intelekta modeli, tikai dažu nedēļu laikā spēja identificēt vairākus tūkstošus iepriekš nezināmu (0 dienu) ievainojamību, no kurām daudzas tika novērtētas kā kritiskas. Starp tām viņi atklāja OpenBSD TCP steka ievainojamību, kas bija palikusi neatklāta 27 gadus, ļaujot attālināti avarēt sistēmas. Viņi atklāja arī 16 gadus vecu ievainojamību FFmpeg projekta H.264 kodeka ieviešanā, kā arī ievainojamības H.265 un av1 kodekos, kas tika izmantotas, apstrādājot speciāli izveidotu saturu.
Kodolā Linux Tika identificētas vairākas ievainojamības, kas varētu ļaut neprivileģētam lietotājam iegūt root privilēģijas. Šo ievainojamību apvienošana ļāva izveidot izmantošanas veidus, kas varēja iegūt root privilēģijas, atverot īpašas lapas tīmekļa pārlūkprogrammā. Tika izveidots arī izmantošanas veids, kas ļāva izpildīt kodu ar root privilēģijām, nosūtot speciāli izstrādātas tīkla paketes uz FreeBSD NFS serveri.
Virtualizācijas sistēmā, kas rakstīta valodā, kura nodrošina drošus atmiņas pārvaldības rīkus, ir konstatēta ievainojamība. Šī ievainojamība potenciāli ļauj izpildīt kodu resursdatora pusē, manipulējot ar viessistēmu (ievainojamība nav nosaukta, jo tā vēl nav novērsta, bet šķiet, ka tā atrodas nedrošā blokā Rust kodā). Ievainojamības ir konstatētas visās populārajās tīmekļa pārlūkprogrammās un kriptogrāfiskajās bibliotēkās. SQL injekcijas ievainojamības ir konstatētas dažādās tīmekļa lietojumprogrammās.
Avots: opennet.ru
