Anthropic har annonsert de første resultatene av testingen av sin foreløpige versjon av Mythos AI-modellen, som utvider dens muligheter for å finne feil, identifisere sårbarheter og skrive ferdige utnyttelser betydelig. Ved hjelp av Mythos AI-modellen skannet Anthropic over tusen viktige åpen kildekode-prosjekter og identifiserte 23 019 sårbarheter. 6202 av disse sårbarhetene ble vurdert som høye eller kritiske.
Av de 6202 sårbarhetene som ble klassifisert som farlige av Mythos AI-modellen, ble 1752 bekreftet av uavhengige sikkerhetsforskere. I 1587 tilfeller (90.6 %) ble sårbarheten bekreftet, og i 1094 tilfeller (62.4 %) forble alvorlighetsgraden høy eller kritisk. Gitt den nåværende falske positive raten, forventes det at av de 6202 farlige sårbarhetene som ble identifisert av AI-modellen, vil omtrent 3900 (62.4 %) beholde modellens høye alvorlighetsgrad, utenom de farlige sårbarhetene som ble identifisert separat av 50 Glasswing-prosjektdeltakere.
Informasjon om 467 bekreftede sårbarheter ble delt med vedlikeholdere av åpen kildekode-prosjekter av representanter fra de gjennomgående selskapene. På separate forespørsler delte Anthropic-ansatte direkte informasjon om 1129 ubekreftede problemer med vedlikeholdere. Totalt mottok vedlikeholdere av 281 åpen kildekode-prosjekter informasjon om 1596 problemer og bekreftet tilstedeværelsen av 1451 sårbarheter. Imidlertid er bare 97 problemer rettet i kodebasene så langt, og 88 offentlige sårbarhetsrapporter er utstedt.
Videre skal 50 Glasswing-prosjektdeltakere som fikk tidlig tilgang til Mythos-modellen ha identifisert over 10 000 farlige sårbarheter i kodebasene sine. For eksempel fant Cloudflare over 2000 feil ved bruk av Mythos, hvorav 400 ble vurdert som høye og kritiske. Cloudflares falske positive rate var lavere enn ved menneskelig testing. Mozilla fant 271 sårbarheter ved bruk av Mythos da de testet Firefox 150, noe som er 10 ganger mer enn antallet som ble funnet da Firefox 148 ble testet med Claude Opus 4.6-modellen.
Et eksempel på et kritisk problem som allerede er løst er gitt:
Sårbarhet (CVE-2026-5194) i kryptografibiblioteket wolfSSL. Mythos klarte å forberede en utnyttelse som lar en angriper generere et falskt ECDSA-sertifikat for nettsteder og e-postkontoer. servere, som ble behandlet som gyldig da den ble bekreftet av wolfSSL-biblioteket. Problemet ble forårsaket av en manglende hashstørrelse og OID-sjekk i koden, noe som tillot at en mindre enn tillatt hashstørrelse ble spesifisert i sertifikatet.
Kilde: opennet.ru
