Anthropic mengumumkan projek Glasswing, yang akan menyediakan akses kepada versi awal model AI Claude Mythos untuk tujuan mengenal pasti kelemahan dan meningkatkan keselamatan perisian kritikal. Peserta projek termasuk Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA dan Palo Alto Networks. Kira-kira 40 organisasi tambahan juga telah menerima jemputan untuk menyertai.
Dikeluarkan pada bulan Februari, model AI Claude Opus 4.6 mencapai tahap prestasi baharu dalam bidang seperti pengesanan kerentanan, pengesanan dan pembetulan pepijat, semakan perubahan dan penjanaan kod. Eksperimen dengan model AI ini membolehkan pengenalpastian lebih 500 kerentanan dalam projek sumber terbuka dan penjanaan pengkompil C yang mampu membina kernel Linux. Walau bagaimanapun, Claude Opus 4.6 menunjukkan prestasi yang buruk dalam mencipta eksploit yang berfungsi.
Menurut Anthropic, model "Claude Mythos" generasi akan datang jauh lebih baik daripada Claude Opus 4.6 dalam menghasilkan eksploitasi sedia untuk digunakan. Daripada beberapa ratus percubaan untuk mencipta eksploitasi bagi kelemahan yang dikenal pasti dalam enjin JavaScript Firefox, hanya dua yang berjaya dengan Claude Opus 4.6. Apabila mengulangi eksperimen menggunakan versi awal model Mythos, eksploitasi yang berfungsi telah dicipta sebanyak 181 kali—kadar kejayaan meningkat daripada hampir sifar kepada 72.4%.
Tambahan pula, Claude Mythos mengembangkan keupayaan kerentanan dan pengesanan pepijatnya dengan ketara. Ini, digabungkan dengan kesesuaiannya untuk pembangunan eksploitasi, mewujudkan risiko baharu untuk industri: eksploitasi untuk kerentanan hari sifar yang tidak ditambal boleh dicipta oleh bukan profesional dalam masa beberapa jam. Telah dinyatakan bahawa keupayaan pengesanan dan eksploitasi kerentanan Mythos telah mencapai tahap profesional, hanya kurang daripada profesional yang paling berpengalaman.
Memandangkan membuka akses tanpa had kepada model AI dengan keupayaan sedemikian memerlukan persediaan industri, telah diputuskan untuk membuka versi awal kepada sekumpulan pakar terpilih bagi menjalankan kerja pengenalpastian kerentanan dan penampalan dalam produk perisian kritikal dan perisian sumber terbuka. Bagi membiayai inisiatif ini, subsidi token sebanyak $100 juta telah diperuntukkan, dan $4 juta akan didermakan kepada organisasi yang menyokong keselamatan projek sumber terbuka.
Dalam penanda aras CyberGym, yang menilai keupayaan pengesanan kerentanan model, model Mythos mencapai skor 83.1%, manakala Opus 4.6 mencapai skor 66.6%. Dalam ujian kualiti kod, model menunjukkan prestasi berikut:
Semasa eksperimen tersebut, Anthropic, menggunakan model Mythos AI, dapat mengenal pasti beberapa ribu kerentanan yang sebelum ini tidak diketahui (0 hari) hanya dalam beberapa minggu, yang kebanyakannya dinilai kritikal. Antaranya, mereka menemui kerentanan dalam susunan TCP OpenBSD yang tidak dikesan selama 27 tahun, yang membolehkan ranap sistem jarak jauh. Mereka juga menemui kerentanan berusia 16 tahun dalam pelaksanaan codec H.264 projek FFmpeg, serta kerentanan dalam codec H.265 dan av1, yang dieksploitasi semasa memproses kandungan yang dibuat khas.
Beberapa kelemahan telah ditemui dalam kernel Linux yang membolehkan pengguna yang tidak mempunyai keistimewaan mendapatkan keistimewaan root. Merangkaikan kelemahan ini bersama-sama membolehkan eksploitasi dicipta yang boleh mendapatkan keistimewaan root dengan membuka halaman khas dalam pelayar web. Satu eksploitasi juga telah dicipta yang membolehkan pelaksanaan kod dengan keistimewaan root dengan menghantar paket rangkaian yang direka khas ke pelayan NFS FreeBSD.
Satu kelemahan telah dikenal pasti dalam sistem virtualisasi yang ditulis dalam bahasa yang menyediakan alat pengurusan memori yang selamat. Kelemahan ini berpotensi membenarkan pelaksanaan kod bahagian hos melalui manipulasi sistem tetamu (kelemahan tersebut tidak dinamakan kerana ia belum dibaiki, tetapi ia nampaknya terdapat dalam blok yang tidak selamat dalam kod Rust). Kelemahan telah ditemui dalam semua pelayar web dan perpustakaan kriptografi yang popular. Kelemahan suntikan SQL telah dikenal pasti dalam pelbagai aplikasi web.
Sumber: opennet.ru
