Firma Anthropic ogłosiła wstępne wyniki testów swojej wstępnej wersji modelu sztucznej inteligencji Mythos, która znacząco rozszerza możliwości wyszukiwania błędów, identyfikowania luk w zabezpieczeniach i tworzenia gotowych exploitów. Korzystając z modelu sztucznej inteligencji Mythos, firma Anthropic przeskanowała ponad tysiąc ważnych projektów open source, identyfikując 23 019 luk w zabezpieczeniach. 6202 z nich oceniono jako wysokie lub krytyczne.
Spośród 6202 luk w zabezpieczeniach sklasyfikowanych przez model sztucznej inteligencji Mythos jako niebezpieczne, 1752 zostało zweryfikowanych przez niezależnych badaczy bezpieczeństwa. W 1587 przypadkach (90.6%) luka została potwierdzona, a w 1094 przypadkach (62.4%) poziom istotności pozostał wysoki lub krytyczny. Biorąc pod uwagę obecny wskaźnik wyników fałszywie dodatnich, oczekuje się, że spośród 6202 niebezpiecznych luk zidentyfikowanych przez model sztucznej inteligencji, około 3900 (62.4%) utrzyma wysoki poziom istotności, nie licząc niebezpiecznych luk zidentyfikowanych oddzielnie przez 50 uczestników projektu Glasswing.
Przedstawiciele firm weryfikujących udostępnili opiekunom projektów open source informacje o 467 zweryfikowanych lukach. Na oddzielne prośby, pracownicy Anthropic bezpośrednio udostępnili opiekunom informacje o 1129 niezweryfikowanych problemach. Łącznie opiekunowie 281 projektów open source otrzymali informacje o 1596 problemach i potwierdzili obecność 1451 luk. Jednak do tej pory w bazach kodu naprawiono tylko 97 problemów, a opublikowano 88 publicznych raportów o lukach.
Co więcej, 50 uczestników projektu Glasswing, którzy otrzymali wczesny dostęp do modelu Mythos, zidentyfikowało ponad 10 000 niebezpiecznych luk w swoich bazach kodu. Na przykład Cloudflare wykryło ponad 2000 błędów za pomocą Mythos, z czego 400 zostało ocenionych jako wysokie i krytyczne. Wskaźnik fałszywych alarmów w Cloudflare był niższy niż w testach przeprowadzanych przez ludzi. Mozilla, testując Firefoksa 150, wykryła 271 luk w zabezpieczeniach za pomocą Mythos, czyli 10 razy więcej niż podczas testowania Firefoksa 148 z wykorzystaniem modelu Claude Opus 4.6.
Poniżej podano przykład krytycznego problemu, który został już rozwiązany:
Luka (CVE-2026-5194) w bibliotece kryptograficznej wolfSSL. Mythos przygotował exploit, który pozwala atakującemu na wygenerowanie fałszywego certyfikatu ECDSA dla stron internetowych i kont e-mail. serwery, który został uznany za prawidłowy po weryfikacji przez bibliotekę wolfSSL. Problem był spowodowany brakiem w kodzie rozmiaru skrótu i sprawdzenia OID, co pozwoliło na określenie w certyfikacie rozmiaru skrótu mniejszego niż dozwolony.
Źródło: opennet.ru
