Spoločnosť Anthropic oznámila prvé výsledky testovania svojej predbežnej verzie modelu Mythos AI, ktorý výrazne rozširuje jej možnosti vyhľadávania chýb, identifikácie zraniteľností a písania hotových exploitov. Pomocou modelu Mythos AI spoločnosť Anthropic naskenovala viac ako tisíc dôležitých open-source projektov a identifikovala 23 019 zraniteľností. 6 202 z týchto zraniteľností bolo hodnotených ako vysoko alebo kriticky.
Z 6 202 zraniteľností klasifikovaných ako nebezpečné modelom umelej inteligencie Mythos bolo 1 752 overených nezávislými bezpečnostnými výskumníkmi. V 1 587 prípadoch (90.6 %) bola zraniteľnosť potvrdená a v 1 094 prípadoch (62.4 %) zostala úroveň závažnosti vysoká alebo kritická. Vzhľadom na súčasnú mieru falošne pozitívnych výsledkov sa očakáva, že zo 6 202 nebezpečných zraniteľností identifikovaných modelom umelej inteligencie si približne 3 900 (62.4 %) zachová vysoké hodnotenie závažnosti modelu, nepočítajúc nebezpečné zraniteľnosti identifikované samostatne 50 účastníkmi projektu Glasswing.
Zástupcovia spoločností, ktoré vykonávali kontrolu, zdieľali so správcami projektov s otvoreným zdrojovým kódom informácie o 467 overených zraniteľnostiach. Na základe samostatných žiadostí zamestnanci spoločnosti Anthropic priamo zdieľali so správcami informácie o 1 129 neoverených problémoch. Celkovo správcovia 281 projektov s otvoreným zdrojovým kódom dostali informácie o 1 596 problémoch a potvrdili prítomnosť 1 451 zraniteľností. V kódových databázach však bolo doteraz opravených iba 97 problémov a bolo vydaných 88 verejných hlásení o zraniteľnostiach.
Okrem toho 50 účastníkov projektu Glasswing, ktorým bol umožnený skorý prístup k modelu Mythos, údajne identifikovalo vo svojich kódových bázach viac ako 10 000 nebezpečných zraniteľností. Napríklad Cloudflare našiel pomocou Mythosu viac ako 2 000 chýb, z ktorých 400 bolo hodnotených ako vysoko kritických. Miera falošne pozitívnych výsledkov Cloudflare bola nižšia ako pri testovaní na ľuďoch. Mozilla pri testovaní Firefoxu 150 našla pomocou Mythosu 271 zraniteľností, čo je 10-krát viac ako počet zistený pri testovaní Firefoxu 148 pomocou modelu Claude Opus 4.6.
Uvádza sa príklad kritického problému, ktorý už bol vyriešený:
zraniteľnosť (CVE-2026-5194) v kryptografickej knižnici wolfSSL. Spoločnosť Mythos dokázala pripraviť zneužitie, ktoré útočníkovi umožňuje vygenerovať falošný certifikát ECDSA pre webové stránky a e-mailové účty. serverov, ktorý bol po overení knižnicou wolfSSL spracovaný ako platný. Problém bol spôsobený chýbajúcou kontrolou veľkosti hashu a OID v kóde, čo umožňovalo zadanie menšej ako povolenej veľkosti hashu v certifikáte.
Zdroj: opennet.ru
