Anthropic ka njoftuar projektin Glasswing, i cili do të ofrojë qasje në një version paraprak të modelit të inteligjencës artificiale Claude Mythos për të identifikuar dobësitë dhe për të përmirësuar sigurinë e softuerëve kritikë. Pjesëmarrësit në projekt përfshijnë organizatën Linux Fondacioni, si dhe Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA dhe Palo Alto Networks. Përafërsisht 40 organizata të tjera kanë marrë gjithashtu ftesa për të marrë pjesë në projekt.
I publikuar në shkurt, modeli i inteligjencës artificiale Claude Opus 4.6 arriti nivele të reja performance në fusha të tilla si zbulimi i dobësive, zbulimi dhe rregullimi i defekteve, rishikimi i ndryshimeve dhe gjenerimi i kodit. Eksperimentet me këtë model të inteligjencës artificiale kanë mundësuar identifikimin e mbi 500 dobësive në projektet me burim të hapur dhe gjenerimin e një përpiluesi C të aftë për të ndërtuar bërthamën. LinuxMegjithatë, modeli Claude Opus 4.6 performoi dobët në krijimin e shfrytëzimeve funksionale.
Sipas Anthropic, modeli i gjeneratës së ardhshme "Claude Mythos" tejkalon ndjeshëm Claude Opus 4.6 në prodhimin e shfrytëzimeve të gatshme për përdorim. Nga disa qindra përpjekje për të krijuar shfrytëzime për dobësitë e identifikuara në motorin JavaScript të Firefox, vetëm dy ishin të suksesshme me Claude Opus 4.6. Kur eksperimenti u përsërit duke përdorur një version paraprak të modelit Mythos, shfrytëzimet funksionale u krijuan 181 herë - shkalla e suksesit u rrit nga pothuajse zero në 72.4%.
Për më tepër, Claude Mythos zgjeron ndjeshëm aftësitë e tij të zbulimit të cenueshmërisë dhe të gabimeve. Kjo, e kombinuar me përshtatshmërinë e tij për zhvillimin e shfrytëzimeve, krijon rreziqe të reja për industrinë: shfrytëzimet për dobësitë zero-day të pa-patchuara mund të krijohen nga jo-profesionistë brenda pak orësh. Vërehet se aftësitë e zbulimit dhe shfrytëzimit të cenueshmërisë së Mythos kanë arritur nivele profesionale, duke mbetur prapa vetëm profesionistëve më me përvojë.
Meqenëse hapja e aksesit të pakufizuar në një model të inteligjencës artificiale me aftësi të tilla kërkon përgatitje nga industria, u vendos që fillimisht të hapej një version paraprak për një grup të zgjedhur ekspertësh për të kryer punën e identifikimit të dobësive dhe korrigjimit të tyre në produktet kritike të softuerëve dhe softuerët me burim të hapur. Për të financuar iniciativën, është ndarë një subvencion prej 100 milionë dollarësh në formë simbolike dhe 4 milionë dollarë do t'u dhurohen organizatave që mbështesin sigurinë e projekteve me burim të hapur.
Në testin e CyberGym, i cili vlerëson aftësitë e zbulimit të dobësive të modeleve, modeli Mythos arriti një rezultat prej 83.1%, ndërsa Opus 4.6 arriti një rezultat prej 66.6%. Në testet e cilësisë së kodit, modelet demonstruan performancën e mëposhtme:
Gjatë eksperimentit, Anthropic, duke përdorur modelin Mythos AI, ishte në gjendje të identifikonte disa mijëra dobësi të panjohura më parë (0-ditore) vetëm në pak javë, shumë prej të cilave u vlerësuan si kritike. Midis tyre, ata zbuluan një dobësi në pirgun TCP të OpenBSD që kishte mbetur e pazbuluar për 27 vjet, duke lejuar rrëzime të sistemit në distancë. Ata zbuluan gjithashtu një dobësi 16-vjeçare në zbatimin e kodekut H.264 të projektit FFmpeg, si dhe dobësi në kodekët H.265 dhe av1, të shfrytëzuara gjatë përpunimit të përmbajtjes së krijuar posaçërisht.
Në thelb Linux U identifikuan disa dobësi që mund të lejonin një përdorues pa privilegje të fitonte privilegje rrënjësore. Lidhja e këtyre dobësive së bashku lejoi krijimin e shfrytëzimeve që mund të fitonin privilegje rrënjësore duke hapur faqe të veçanta në një shfletues interneti. Gjithashtu u krijua një shfrytëzim që lejonte ekzekutimin e kodit me privilegje rrënjësore duke dërguar paketa rrjeti të krijuara posaçërisht në një server FreeBSD NFS.
Një dobësi është identifikuar në një sistem virtualizimi të shkruar në një gjuhë që ofron mjete të sigurta për menaxhimin e memories. Kjo dobësi potencialisht lejon ekzekutimin e kodit nga ana e hostit përmes manipulimit të sistemit mysafir (dobësia nuk është emëruar sepse nuk është rregulluar ende, por duket se është e pranishme në një bllok të pasigurt në kodin Rust). Dobësi janë gjetur në të gjithë shfletuesit e internetit dhe bibliotekat kriptografike të njohura. Dobësitë e injektimit SQL janë identifikuar në aplikacione të ndryshme web.
Burimi: opennet.ru
