Anthropic har tillkännagivit de första resultaten av testerna av sin preliminära version av Mythos AI-modell, som avsevärt utökar dess möjligheter att hitta buggar, identifiera sårbarheter och skriva färdiga exploits. Med hjälp av Mythos AI-modell skannade Anthropic över tusen viktiga open source-projekt och identifierade 23 019 sårbarheter. 6 202 av dessa sårbarheter bedömdes som höga eller kritiska.
Av de 6 202 sårbarheter som klassificerats som farliga av Mythos AI-modell verifierades 1 752 av oberoende säkerhetsforskare. I 1 587 fall (90.6 %) bekräftades sårbarheten, och i 1 094 fall (62.4 %) förblev allvarlighetsgraden hög eller kritisk. Med tanke på den nuvarande andelen falskt positiva resultat förväntas det att av de 6 202 farliga sårbarheter som identifierats av AI-modellen kommer cirka 3 900 (62.4 %) att behålla modellens höga allvarlighetsgrad, exklusive de farliga sårbarheter som identifierats separat av 50 deltagare i Glasswing-projektet.
Information om 467 verifierade sårbarheter delades med ansvariga för projekt med öppen källkod av representanter för de granskande företagen. På separata begäranden delade Anthropics anställda direkt information om 1 129 overifierade problem med ansvariga. Totalt fick ansvariga för 281 projekt med öppen källkod information om 1 596 problem och bekräftade förekomsten av 1 451 sårbarheter. Emellertid har endast 97 problem åtgärdats i kodbaserna hittills, och 88 offentliga sårbarhetsrapporter har utfärdats.
Dessutom identifierade 50 deltagare i Glasswing-projektet som fick tidig tillgång till Mythos-modellen enligt uppgift över 10 000 farliga sårbarheter i sina kodbaser. Till exempel hittade Cloudflare över 2 000 buggar med Mythos, varav 400 klassades som höga och kritiska. Cloudflares andel falskt positiva resultat var lägre än vid mänskliga tester. Mozilla hittade 271 sårbarheter med Mythos när de testade Firefox 150, vilket är 10 gånger fler än antalet som hittades när Firefox 148 testades med Claude Opus 4.6-modellen.
Ett exempel på ett kritiskt problem som redan har åtgärdats ges:
Sårbarhet (CVE-2026-5194) i kryptografiska biblioteket wolfSSL. Mythos kunde förbereda en exploit som gör det möjligt för en angripare att generera ett falskt ECDSA-certifikat för webbplatser och e-postkonton. servrar, vilket behandlades som giltigt när det verifierades av wolfSSL-biblioteket. Problemet orsakades av en saknad hashstorlek och OID-kontroll i koden, vilket gjorde det möjligt att ange en mindre hashstorlek än tillåtet i certifikatet.
Källa: opennet.ru
