Anthropic đã công bố kết quả ban đầu của việc thử nghiệm phiên bản sơ bộ mô hình AI Mythos, giúp mở rộng đáng kể khả năng tìm lỗi, xác định lỗ hổng và viết các công cụ khai thác sẵn có. Sử dụng mô hình AI Mythos, Anthropic đã quét hơn một nghìn dự án mã nguồn mở quan trọng, xác định được 23019 lỗ hổng. Trong số đó, 6202 lỗ hổng được đánh giá là mức độ nghiêm trọng cao hoặc cực kỳ nghiêm trọng.
Trong số 6202 lỗ hổng được mô hình AI Mythos phân loại là nguy hiểm, 1752 lỗ hổng đã được các nhà nghiên cứu bảo mật độc lập xác minh. Trong 1587 trường hợp (90.6%), lỗ hổng đã được xác nhận và trong 1094 trường hợp (62.4%), mức độ nghiêm trọng vẫn ở mức cao hoặc nghiêm trọng. Với tỷ lệ cảnh báo sai hiện tại, dự kiến trong số 6202 lỗ hổng nguy hiểm được mô hình AI xác định, khoảng 3900 lỗ hổng (62.4%) sẽ giữ nguyên mức độ nghiêm trọng cao của mô hình, không bao gồm các lỗ hổng nguy hiểm được xác định riêng bởi 50 người tham gia dự án Glasswing.
Đại diện các công ty đánh giá đã chia sẻ thông tin về 467 lỗ hổng bảo mật đã được xác minh với những người duy trì dự án mã nguồn mở. Theo yêu cầu riêng, nhân viên của Anthropic đã trực tiếp chia sẻ thông tin về 1129 vấn đề chưa được xác minh với những người duy trì dự án. Tổng cộng, những người duy trì của 281 dự án mã nguồn mở đã nhận được thông tin về 1596 vấn đề và xác nhận sự hiện diện của 1451 lỗ hổng bảo mật. Tuy nhiên, cho đến nay chỉ có 97 vấn đề được khắc phục trong mã nguồn và 88 báo cáo về lỗ hổng bảo mật đã được công bố.
Hơn nữa, 50 người tham gia dự án Glasswing được cấp quyền truy cập sớm vào mô hình Mythos được cho là đã xác định được hơn 10 lỗ hổng nguy hiểm trong mã nguồn của họ. Ví dụ, Cloudflare đã tìm thấy hơn 2000 lỗi bằng Mythos, trong đó 400 lỗi được đánh giá là nghiêm trọng. Tỷ lệ lỗi dương tính giả của Cloudflare thấp hơn so với thử nghiệm thủ công. Mozilla, khi thử nghiệm Firefox 150, đã tìm thấy 271 lỗ hổng bằng Mythos, gấp 10 lần so với số lượng lỗ hổng được tìm thấy khi thử nghiệm Firefox 148 bằng mô hình Claude Opus 4.6.
Dưới đây là một ví dụ về vấn đề nghiêm trọng đã được khắc phục:
Lỗ hổng bảo mật (CVE-2026-5194) trong thư viện mã hóa wolfSSL. Mythos đã có thể chuẩn bị một công cụ khai thác cho phép kẻ tấn công tạo ra chứng chỉ ECDSA giả mạo cho các trang web và tài khoản email. may chủChứng chỉ này đã được xử lý và coi là hợp lệ khi được thư viện wolfSSL xác minh. Vấn đề phát sinh do thiếu kiểm tra kích thước băm và OID trong mã nguồn, dẫn đến việc chỉ định kích thước băm nhỏ hơn mức cho phép trong chứng chỉ.
Nguồn: opennet.ru
