Anthropic公司宣布启动Glasswing项目,该项目将提供Claude Mythos人工智能模型的初步版本,用于识别漏洞并提升关键软件的安全性。该项目的参与者包括该组织。 Linux 基金会以及亚马逊网络服务、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、微软、英伟达和帕洛阿尔托网络等公司均已受邀参与该项目。此外,还有约40家其他机构也收到了参与该项目的邀请。
今年二月发布的 Claude Opus 4.6 人工智能模型在漏洞检测、错误检测与修复、变更审查和代码生成等领域取得了新的性能提升。基于该人工智能模型的实验已成功识别出开源项目中的 500 多个漏洞,并生成了一个能够构建内核的 C 编译器。 Linux然而,Claude Opus 4.6 模型在创建有效的漏洞利用程序方面表现不佳。
据 Anthropic 公司称,新一代“Claude Mythos”模型在生成可直接使用的漏洞利用程序方面显著优于 Claude Opus 4.6。在数百次针对 Firefox JavaScript 引擎漏洞创建漏洞利用程序的尝试中,使用 Claude Opus 4.6 仅成功创建了两个。而使用 Mythos 模型的早期版本重复该实验后,成功创建了 181 个可用的漏洞利用程序——成功率从接近于零提升至 72.4%。
此外,Claude Mythos 显著增强了其漏洞和缺陷检测能力。这与它对漏洞利用开发的适用性相结合,给行业带来了新的风险:非专业人士可以在数小时内创建针对未修补的零日漏洞的利用程序。值得注意的是,Mythos 的漏洞检测和利用能力已达到专业水平,仅次于经验最丰富的专业人士。
由于全面开放具备此类功能的AI模型需要行业做好准备,因此决定先向部分专家开放一个初步版本,用于识别和修复关键软件产品和开源软件中的漏洞。为资助该计划,已拨出100亿美元的象征性补贴,另有4万美元将捐赠给支持开源项目安全的组织。
在评估模型漏洞检测能力的 CyberGym 基准测试中,Mythos 模型得分 83.1%,而 Opus 4.6 模型得分 66.6%。在代码质量测试中,这些模型表现出以下性能:
在实验过程中,Anthropic 公司利用 Mythos 人工智能模型,在短短几周内就识别出了数千个此前未知的零日漏洞,其中许多漏洞被评为严重级别。他们发现,OpenBSD TCP 协议栈中一个存在了 27 年之久的漏洞一直未被发现,该漏洞可导致远程系统崩溃。此外,他们还发现了 FFmpeg 项目 H.264 编解码器实现中一个存在了 16 年的漏洞,以及 H.265 和 av1 编解码器中的漏洞,这些漏洞在处理特制内容时会被利用。
在核心 Linux 已发现多个漏洞,这些漏洞可能允许非特权用户获取 root 权限。将这些漏洞串联起来,即可创建利用程序,通过在 Web 浏览器中打开特定页面来获取 root 权限。此外,还创建了一个利用程序,允许通过向 FreeBSD NFS 服务器发送特制的网络数据包来执行具有 root 权限的代码。
一个使用提供安全内存管理工具的语言编写的虚拟化系统被发现存在漏洞。该漏洞可能允许攻击者通过操纵客户机系统来执行主机端代码(由于该漏洞尚未修复,因此未命名,但它似乎存在于 Rust 代码的一个不安全代码块中)。所有主流 Web 浏览器和加密库中都发现了漏洞。此外,多个 Web 应用程序也发现了 SQL 注入漏洞。
来源: opennet.ru
