Anthropic ngumumkeun proyék Glasswing, anu bakal nyayogikeun aksés kana vérsi awal tina modél AI Claude Mythos pikeun tujuan ngaidentipikasi kerentanan sareng ningkatkeun kaamanan parangkat lunak anu penting. Pamilon proyék kalebet Linux Foundation, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, sareng Palo Alto Networks. Kira-kira 40 organisasi tambahan ogé parantos nampi uleman pikeun ilubiung.
Dirilis dina bulan Pébruari, modél AI Claude Opus 4.6 ngahontal tingkat kinerja anyar dina widang sapertos deteksi kerentanan, deteksi sareng perbaikan bug, tinjauan parobahan, sareng generasi kode. Ékspérimén sareng modél AI ieu ngamungkinkeun idéntifikasi langkung ti 500 kerentanan dina proyék sumber terbuka sareng generasi kompiler C anu sanggup ngawangun kernel Linux. Nanging, Claude Opus 4.6 ngagaduhan kinerja anu goréng dina nyiptakeun exploit anu tiasa dianggo.
Numutkeun Anthropic, modél "Claude Mythos" generasi salajengna sacara signifikan ngaleuwihan Claude Opus 4.6 dina ngahasilkeun eksploitasi anu siap dianggo. Tina sababaraha ratus usaha pikeun nyiptakeun eksploitasi pikeun kerentanan anu diidentipikasi dina mesin JavaScript Firefox, ngan dua anu suksés sareng Claude Opus 4.6. Nalika ngulang ékspérimén nganggo vérsi awal modél Mythos, eksploitasi anu tiasa dianggo didamel 181 kali—tingkat kasuksésan ningkat tina ampir enol janten 72.4%.
Salajengna, Claude Mythos sacara signifikan ngalegaan kamampuan deteksi kerentanan sareng bug na. Ieu, digabungkeun sareng kasaluyuanana pikeun pamekaran eksploitasi, nyiptakeun résiko énggal pikeun industri: eksploitasi pikeun kerentanan zero-day anu teu acan ditambal tiasa didamel ku non-profesional dina sababaraha jam. Perlu dicatet yén kamampuan deteksi sareng eksploitasi kerentanan Mythos parantos ngahontal tingkat profésional, ngan ukur kirang ti para profésional anu paling berpengalaman.
Kusabab muka aksés anu teu diwatesan kana modél AI kalayan kamampuan sapertos kitu meryogikeun persiapan industri, diputuskeun pikeun mimitina muka vérsi awal ka sakelompok ahli anu dipilih pikeun ngalaksanakeun idéntifikasi kerentanan sareng padamelan patching dina produk parangkat lunak kritis sareng parangkat lunak sumber terbuka. Pikeun ngabiayaan inisiatif ieu, subsidi token $100 juta parantos dialokasikeun, sareng $4 juta bakal disumbangkeun ka organisasi anu ngadukung kaamanan proyék sumber terbuka.
Dina patokan CyberGym, anu ngaevaluasi kamampuan deteksi kerentanan modél, modél Mythos ngahontal skor 83.1%, sedengkeun Opus 4.6 ngahontal skor 66.6%. Dina tés kualitas kode, modél nunjukkeun kinerja ieu:
Salila ékspérimén, Anthropic, nganggo modél Mythos AI, tiasa ngaidentipikasi sababaraha rébu kerentanan anu sateuacanna teu dipikanyaho (0 dinten) ngan ukur dina sababaraha minggu, seueur di antarana dipeunteun kritis. Di antarana, aranjeunna mendakan kerentanan dina tumpukan OpenBSD TCP anu tetep teu kadeteksi salami 27 taun, anu ngamungkinkeun sistem ngadat jarak jauh. Aranjeunna ogé mendakan kerentanan anu umurna 16 taun dina palaksanaan proyék FFmpeg tina codec H.264, ogé kerentanan dina codec H.265 sareng av1, anu dieksploitasi nalika ngolah eusi anu didamel khusus.
Sababaraha kerentanan kapanggih dina kernel Linux anu tiasa ngamungkinkeun pangguna anu teu gaduh hak istimewa pikeun kéngingkeun hak akses root. Ngahijikeun kerentanan ieu ngamungkinkeun éksploit didamel anu tiasa kéngingkeun hak akses root ku cara muka halaman khusus dina panyungsi wéb. Éksploitasi ogé didamel anu ngamungkinkeun palaksanaan kode kalayan hak akses root ku cara ngirim pakét jaringan anu didamel khusus ka server FreeBSD NFS.
Hiji kerentanan parantos diidentifikasi dina sistem virtualisasi anu ditulis dina basa anu nyayogikeun alat manajemen mémori anu aman. Kerentanan ieu berpotensi ngamungkinkeun palaksanaan kode sisi host ngalangkungan manipulasi sistem tamu (kerentanan ieu henteu dingaranan sabab tacan dibenerkeun, tapi sigana aya dina blok anu teu aman dina kode Rust). Kerentanan parantos kapendak dina sadaya panyungsi wéb sareng perpustakaan kriptografi anu populer. Kerentanan injeksi SQL parantos diidentifikasi dina rupa-rupa aplikasi wéb.
sumber: opennet.ru
