За допомогою AI-моделі Mythos виявлено 23 тисячі вразливостей у відкритому ПЗ

Компанія Anthropic підбила перші підсумки тестування попереднього варіанту AI-моделі Mythos, в якій були суттєво розширені можливості щодо пошуку помилок, виявлення вразливостей та написання готових експлоїтів. Компанія Anthropic за допомогою AI-моделі Mythos провела сканування більш ніж тисячі важливих відкритих проектів, в ході якого було виявлено 23019 вразливостей. 6202 уразливості було призначено високий або критичний рівень небезпеки.

1752 із 6202 уразливостей, віднесених AI-моделлю Mythos до категорії небезпечних, були перевірені незалежними компаніями, що спеціалізуються на комп'ютерній безпеці. У 1587 випадках (90.6%) наявність уразливості було підтверджено, а 1094 (62.4%) — зберігся високий чи критичний рівень небезпеки. При поточних показниках помилкових спрацьовувань передбачається, що з 6202 заявлених AI-моделлю небезпечних вразливостей приблизно 3900 (62.4%) збережуть вибраний моделлю високий рівень небезпеки, за винятком небезпечних уразливостей знайдених окремо під час перевірки 50 учасниками проекту Glasswing.

Відомості про 467 верифікованих уразливостей передані представникам компаній, які супроводжували відкриті проекти, які проводили рецензування. За окремими запитами співробітники Anthropic безпосередньо передали супроводжуючим інформацію про 1129 неперевірених проблем. Усього супроводжуючі 281 відкритого проекту отримали відомості про 1596 проблем та підтвердили наявність 1451 вразливостей. При цьому в кодових базах поки що виправлено лише 97 проблем і випущено 88 публічних звітів про вразливості.

Крім того, повідомляється, що 50 учасників проекту Glasswing, яким було надано ранній доступ до моделі Mythos, виявили у своїх кодових базах понад 10 тисяч небезпечних уразливостей. Наприклад, компанія Cloudflare знайшла за допомогою Mythos більше 2000 помилок, з яких 400 відзначено як уразливість з високим та критичним рівнем небезпеки. Рівень хибних спрацьовувань за оцінкою Cloudflare виявився нижчим, ніж під час тестування людьми. Компанія Mozilla під час перевірки коду Firefox 150 знайшла за допомогою Mythos 271 уразливість, що в 10 разів більше, ніж було знайдено під час перевірки Firefox 148 моделлю Claude Opus 4.6.

Як приклад вже виправленої критичної проблеми наводиться
вразливість (CVE-2026-5194) у криптографічній бібліотеці wolfSSL. Mythos зміг підготувати експлоїт, що дозволяє атакуючому сформувати підроблений ECDSA-сертифікат для сайтів та поштових. серверів, який під час перевірки бібліотекою wolfSSL оброблявся як коректний. Проблема була викликана відсутністю в коді перевірки розміру хеш і OID, що дозволяло вказати в сертифікаті хеш розміром менше допустимого.

Джерело: opennet.ru

Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери 🔥 Купити надійний хостинг для сайтів із захистом від DDoS, VPS VDS сервери | ProHoster