Anthropic公司公布了其Mythos AI模型初步版本的测试结果,该模型显著增强了其查找漏洞、识别安全隐患和编写现成攻击代码的能力。利用Mythos AI模型,Anthropic扫描了超过一千个重要的开源项目,识别出23019个漏洞。其中6202个漏洞被评为高危或严重。
在Mythos AI模型识别出的6202个危险漏洞中,有1752个漏洞经独立安全研究人员验证。其中1587个(90.6%)漏洞得到确认,1094个(62.4%)漏洞的严重程度仍为高或危急。鉴于目前的误报率,预计在AI模型识别出的6202个危险漏洞中,约有3900个(62.4%)将保持模型的高严重程度评级,这还不包括50位Glasswing项目参与者单独识别出的危险漏洞。
审查公司的代表已与开源项目维护者分享了 467 个已验证漏洞的信息。应维护者的要求,Anthropic 的员工也直接与维护者分享了 1129 个未经验证的问题信息。总计,281 个开源项目的维护者收到了 1596 个问题的信息,并确认了其中 1451 个漏洞的存在。然而,目前代码库中仅修复了 97 个问题,并发布了 88 份公开漏洞报告。
此外,据报道,50名提前获得Mythos模型访问权限的Glasswing项目参与者在其代码库中发现了超过10个危险漏洞。例如,Cloudflare使用Mythos发现了超过2000个漏洞,其中400个被评为高危和严重漏洞。Cloudflare的误报率低于人工测试。Mozilla在测试Firefox 150时,使用Mythos发现了271个漏洞,是使用Claude Opus 4.6模型测试Firefox 148时发现漏洞数量的10倍。
以下是一个已解决的关键问题的例子:
WolfSSL 加密库中存在漏洞 (CVE-2026-5194)。Mythos 已成功开发出利用该漏洞的程序,攻击者可利用该程序为网站和电子邮件帐户生成伪造的 ECDSA 证书。 服务器该证书经 wolfSSL 库验证后被判定为有效。问题在于代码中缺少哈希大小和 OID 检查,导致证书中指定的哈希大小小于允许值。
来源: opennet.ru
