Anthropic نے Glasswing پروجیکٹ کا اعلان کیا، جو اس کے Claude Mythos AI ماڈل کے ابتدائی ورژن تک رسائی فراہم کرے گا تاکہ کمزوریوں کی شناخت اور اہم سافٹ ویئر کی سیکیورٹی کو بہتر بنایا جاسکے۔ پروجیکٹ کے شرکاء میں لینکس فاؤنڈیشن، ایمیزون ویب سروسز، ایپل، براڈ کام، سسکو، کراؤڈ اسٹرائیک، گوگل، جے پی مورگن چیس، مائیکروسافٹ، این وی آئی ڈی آئی اے، اور پالو آلٹو نیٹ ورکس شامل ہیں۔ تقریباً 40 اضافی تنظیموں کو بھی شرکت کے لیے دعوت نامے موصول ہوئے ہیں۔
فروری میں ریلیز ہونے والے، Claude Opus 4.6 AI ماڈل نے کمزوریوں کا پتہ لگانے، بگ کا پتہ لگانے اور درست کرنے، تبدیلی کا جائزہ لینے، اور کوڈ جنریشن جیسے شعبوں میں کارکردگی کی نئی سطحیں حاصل کیں۔ اس AI ماڈل کے تجربات نے اوپن سورس پروجیکٹس میں 500 سے زیادہ کمزوریوں کی شناخت اور لینکس کرنل بنانے کے قابل C کمپائلر کی تخلیق کی اجازت دی۔ تاہم، Claude Opus 4.6 نے کام کرنے والے کارنامے پیدا کرنے میں خراب کارکردگی کا مظاہرہ کیا۔
Anthropic کے مطابق، اگلی نسل کا "Claude Mythos" ماڈل استعمال کے لیے تیار کارنامے پیدا کرنے میں Claude Opus 4.6 کو نمایاں طور پر پیچھے چھوڑ دیتا ہے۔ Firefox کے JavaScript انجن میں نشاندہی کی گئی کمزوریوں کے لیے استحصال پیدا کرنے کی کئی سو کوششوں میں سے، Claude Opus 4.6 کے ساتھ صرف دو کامیاب ہوئیں۔ Mythos ماڈل کے ابتدائی ورژن کا استعمال کرتے ہوئے تجربے کو دہراتے وقت، کام کرنے والے کارنامے 181 بار بنائے گئے — کامیابی کی شرح صفر سے بڑھ کر 72.4% تک پہنچ گئی۔
مزید برآں، Claude Mythos نمایاں طور پر اپنی کمزوری اور بگ کا پتہ لگانے کی صلاحیتوں کو بڑھاتا ہے۔ یہ، استحصال کی ترقی کے لیے موزوں ہونے کے ساتھ مل کر، صنعت کے لیے نئے خطرات پیدا کرتا ہے: غیر پیشہ ور افراد چند گھنٹوں میں غیر پیشہ ور افراد کی طرف سے بے ترتیب صفر دن کی کمزوریوں کے لیے کارنامے پیدا کیے جا سکتے ہیں۔ یہ نوٹ کیا جاتا ہے کہ Mythos کے خطرے کا پتہ لگانے اور استحصال کرنے کی صلاحیتیں پیشہ ورانہ سطح پر پہنچ چکی ہیں، جو صرف انتہائی تجربہ کار پیشہ ور افراد سے کم ہیں۔
چونکہ اس طرح کی صلاحیتوں کے ساتھ AI ماڈل تک غیر محدود رسائی کو کھولنے کے لیے صنعت کی تیاری کی ضرورت ہوتی ہے، اس لیے ابتدائی طور پر ماہرین کے ایک منتخب گروپ کے لیے ابتدائی ورژن کھولنے کا فیصلہ کیا گیا تاکہ اہم سافٹ ویئر پروڈکٹس اور اوپن سورس سافٹ ویئر میں خطرے کی نشاندہی اور پیچ کاری کا کام کیا جا سکے۔ اس اقدام کو فنڈ دینے کے لیے، $100 ملین ٹوکن سبسڈی مختص کی گئی ہے، اور $4 ملین ان تنظیموں کو عطیہ کیے جائیں گے جو اوپن سورس پروجیکٹس کی حفاظت میں معاونت کرتے ہیں۔
سائبر جیم بینچ مارک میں، جو ماڈلز کی کمزوری کا پتہ لگانے کی صلاحیتوں کا جائزہ لیتا ہے، Mythos ماڈل نے 83.1% کا اسکور حاصل کیا، جبکہ Opus 4.6 نے 66.6% کا اسکور حاصل کیا۔ کوڈ کوالٹی ٹیسٹ میں، ماڈلز نے درج ذیل کارکردگی کا مظاہرہ کیا:
تجربے کے دوران، Anthropic، Mythos AI ماڈل کا استعمال کرتے ہوئے، صرف چند ہفتوں میں کئی ہزار پہلے نامعلوم (0-day) خطرات کی نشاندہی کرنے میں کامیاب رہا، جن میں سے اکثر کو تنقیدی درجہ دیا گیا۔ ان میں سے، انہوں نے اوپن بی ایس ڈی ٹی سی پی اسٹیک میں ایک کمزوری دریافت کی جس کا 27 سالوں سے پتہ نہیں چل سکا تھا، جس سے ریموٹ سسٹم کریش ہو جاتا ہے۔ انہوں نے FFmpeg پروجیکٹ کے H.264 کوڈیک کے نفاذ میں ایک 16 سال پرانی کمزوری بھی دریافت کی، ساتھ ہی H.265 اور av1 کوڈیکس میں کمزوریاں، خاص طور پر تیار کردہ مواد کی پروسیسنگ کے دوران استحصال کیا گیا۔
لینکس کرنل میں کئی کمزوریاں دریافت ہوئیں جو ایک غیر مراعات یافتہ صارف کو روٹ مراعات حاصل کرنے کی اجازت دے سکتی ہیں۔ ان کمزوریوں کو ایک ساتھ باندھنے سے ایسے کارناموں کو تخلیق کیا جا سکتا ہے جو ویب براؤزر میں خصوصی صفحات کھول کر بنیادی مراعات حاصل کر سکتے ہیں۔ ایک استحصال بھی بنایا گیا جس نے کوڈ کو روٹ مراعات کے ساتھ ایک FreeBSD NFS سرور پر خصوصی طور پر تیار کردہ نیٹ ورک پیکٹ بھیج کر عمل درآمد کی اجازت دی۔
ایک ایسی زبان میں لکھے گئے ورچوئلائزیشن سسٹم میں کمزوری کی نشاندہی کی گئی ہے جو محفوظ میموری مینجمنٹ ٹولز مہیا کرتی ہے۔ یہ خطرہ ممکنہ طور پر مہمان کے نظام میں ہیرا پھیری کے ذریعے میزبان سائیڈ کوڈ پر عمل درآمد کی اجازت دیتا ہے (خطرے کا نام نہیں دیا گیا ہے کیونکہ اسے ابھی تک ٹھیک نہیں کیا گیا ہے، لیکن ایسا لگتا ہے کہ یہ رسٹ کوڈ میں غیر محفوظ بلاک میں موجود ہے)۔ تمام مشہور ویب براؤزرز اور کرپٹوگرافک لائبریریوں میں کمزوریاں پائی گئی ہیں۔ مختلف ویب ایپلیکیشنز میں ایس کیو ایل انجیکشن کی کمزوریوں کی نشاندہی کی گئی ہے۔
ماخذ: opennet.ru
