Anthropic ka njoftuar rezultatet fillestare të testimit të versionit të saj paraprak të modelit Mythos AI, i cili zgjeron ndjeshëm aftësitë e tij për gjetjen e gabimeve, identifikimin e dobësive dhe shkrimin e shfrytëzimeve të gatshme. Duke përdorur modelin Mythos AI, Anthropic skanoi mbi një mijë projekte të rëndësishme me burim të hapur, duke identifikuar 23019 dobësi. 6202 nga këto dobësi u vlerësuan si të larta ose kritike.
Nga 6202 dobësitë e klasifikuara si të rrezikshme nga modeli Mythos AI, 1752 u verifikuan nga studiues të pavarur të sigurisë. Në 1587 raste (90.6%), dobësia u konfirmua dhe në 1094 raste (62.4%), niveli i ashpërsisë mbeti i lartë ose kritik. Duke pasur parasysh shkallën aktuale të pozitiviteteve të rreme, pritet që nga 6202 dobësitë e rrezikshme të identifikuara nga modeli AI, afërsisht 3900 (62.4%) do të ruajnë vlerësimin e lartë të ashpërsisë së modelit, duke mos përfshirë dobësitë e rrezikshme të identifikuara veçmas nga 50 pjesëmarrës në projektin Glasswing.
Informacioni mbi 467 dobësi të verifikuara u nda me mirëmbajtësit e projekteve me burim të hapur nga përfaqësuesit e kompanive shqyrtuese. Me kërkesa të veçanta, punonjësit e Anthropic ndanë drejtpërdrejt informacion mbi 1129 probleme të paverifikuara me mirëmbajtësit. Në total, mirëmbajtësit e 281 projekteve me burim të hapur morën informacion mbi 1596 probleme dhe konfirmuan praninë e 1451 dobësive. Megjithatë, deri më tani vetëm 97 probleme janë rregulluar në bazat e kodeve dhe janë lëshuar 88 raporte publike të dobësive.
Për më tepër, 50 pjesëmarrës në projektin Glasswing, të cilëve iu dha qasje e hershme në modelin Mythos, thuhet se identifikuan mbi 10 dobësi të rrezikshme në bazat e tyre të kodit. Për shembull, Cloudflare gjeti mbi 2000 gabime duke përdorur Mythos, 400 prej të cilave u vlerësuan si të larta dhe kritike. Shkalla e pozitiveve të rreme të Cloudflare ishte më e ulët se ajo e testimit njerëzor. Mozilla, kur testoi Firefox 150, gjeti 271 dobësi duke përdorur Mythos, që është 10 herë më shumë se numri i gjetur kur testoi Firefox 148 duke përdorur modelin Claude Opus 4.6.
Një shembull i një problemi kritik që është zgjidhur tashmë është dhënë:
dobësi (CVE-2026-5194) në bibliotekën kriptografike wolfSSL. Mythos ishte në gjendje të përgatiste një shfrytëzim që i lejon një sulmuesi të gjenerojë një certifikatë të rreme ECDSA për faqet e internetit dhe llogaritë e email-it. serverat, i cili u përpunua si i vlefshëm kur u verifikua nga biblioteka wolfSSL. Problemi u shkaktua nga mungesa e një madhësie hash dhe kontrolli OID në kod, gjë që lejoi që një madhësi hash më e vogël se e lejuara të specifikohej në certifikatë.
Burimi: opennet.ru
