บริษัท Anthropic ได้ประกาศผลการทดสอบเบื้องต้นของโมเดล AI Mythos เวอร์ชันทดลอง ซึ่งขยายขีดความสามารถในการค้นหาข้อบกพร่อง ระบุช่องโหว่ และเขียนโค้ดโจมตีสำเร็จรูปได้อย่างมีนัยสำคัญ โดยใช้โมเดล AI Mythos บริษัท Anthropic ได้สแกนโครงการโอเพนซอร์สที่สำคัญกว่าพันโครงการ และระบุช่องโหว่ได้ 23019 รายการ ในจำนวนนี้ 6202 รายการมีระดับความเสี่ยงสูงหรือวิกฤต
จากช่องโหว่ 6202 รายการที่ถูกจัดว่าอันตรายโดยแบบจำลอง AI ของ Mythos มี 1752 รายการที่ได้รับการตรวจสอบโดยนักวิจัยด้านความปลอดภัยอิสระ ในจำนวนนี้ 1587 กรณี (90.6%) ช่องโหว่ได้รับการยืนยัน และใน 1094 กรณี (62.4%) ระดับความรุนแรงยังคงอยู่ในระดับสูงหรือวิกฤต เมื่อพิจารณาจากอัตราการแจ้งเตือนผิดพลาดในปัจจุบัน คาดว่าจากช่องโหว่อันตราย 6202 รายการที่ระบุโดยแบบจำลอง AI นั้น ประมาณ 3900 รายการ (62.4%) จะยังคงได้รับการจัดอันดับความรุนแรงสูงจากแบบจำลอง โดยไม่รวมช่องโหว่อันตรายที่ระบุแยกต่างหากโดยผู้เข้าร่วมโครงการ Glasswing 50 ราย
ตัวแทนจากบริษัทผู้ตรวจสอบได้แบ่งปันข้อมูลเกี่ยวกับช่องโหว่ที่ได้รับการยืนยันแล้ว 467 รายการ ให้กับผู้ดูแลโครงการโอเพนซอร์ส ในขณะเดียวกัน พนักงานของ Anthropic ได้แบ่งปันข้อมูลเกี่ยวกับปัญหาที่ยังไม่ได้รับการตรวจสอบอีก 1129 รายการ ให้กับผู้ดูแลโครงการโดยตรง ตามคำขอแยกต่างหาก โดยรวมแล้ว ผู้ดูแลโครงการโอเพนซอร์ส 281 โครงการ ได้รับข้อมูลเกี่ยวกับปัญหา 1596 รายการ และยืนยันการมีอยู่ของช่องโหว่ 1451 รายการ อย่างไรก็ตาม มีเพียง 97 รายการเท่านั้นที่ได้รับการแก้ไขในโค้ดเบส และมีการออกรายงานช่องโหว่สาธารณะแล้ว 88 ฉบับ
นอกจากนี้ ผู้เข้าร่วมโครงการ Glasswing 50 รายที่ได้รับสิทธิ์เข้าถึงโมเดล Mythos ก่อนใคร รายงานว่าพบช่องโหว่อันตรายกว่า 10 รายการในโค้ดของตน ตัวอย่างเช่น Cloudflare พบข้อบกพร่องกว่า 2000 รายการโดยใช้ Mythos ซึ่ง 400 รายการถูกจัดอยู่ในระดับร้ายแรงและวิกฤต อัตราการแจ้งเตือนผิดพลาดของ Cloudflare ต่ำกว่าการทดสอบโดยมนุษย์เสียอีก ส่วน Mozilla เมื่อทดสอบ Firefox 150 พบช่องโหว่ 271 รายการโดยใช้ Mythos ซึ่งมากกว่าจำนวนที่พบเมื่อทดสอบ Firefox 148 โดยใช้โมเดล Claude Opus 4.6 ถึง 10 เท่า
ตัวอย่างของปัญหาสำคัญที่ได้รับการแก้ไขแล้วมีดังนี้:
ช่องโหว่ (CVE-2026-5194) ในไลบรารีการเข้ารหัส wolfSSL บริษัท Mythos สามารถเตรียมเครื่องมือโจมตีที่อนุญาตให้ผู้โจมตีสร้างใบรับรอง ECDSA ปลอมสำหรับเว็บไซต์และบัญชีอีเมลได้ เซิร์ฟเวอร์ซึ่งได้รับการประมวลผลว่าถูกต้องเมื่อตรวจสอบโดยไลบรารี wolfSSL ปัญหาเกิดจากการขาดการตรวจสอบขนาดแฮชและ OID ในโค้ด ทำให้สามารถระบุขนาดแฮชที่เล็กกว่าที่อนุญาตได้ในใบรับรอง
ที่มา: opennet.ru
