Anthropic公司公佈了其Mythos AI模型初步版本的測試結果,該模型顯著增強了其查找漏洞、識別安全隱患和編寫現成攻擊程式碼的能力。利用Mythos AI模型,Anthropic掃描了超過一千個重要的開源項目,辨識出23019個漏洞。其中6202個漏洞被評為高風險或嚴重。
在Mythos AI模型識別出的6202個危險漏洞中,有1752個漏洞經獨立安全研究人員驗證。其中1587個(90.6%)漏洞得到確認,1094個(62.4%)漏洞的嚴重程度仍為高或危急。鑑於目前的誤報率,預計在AI模型識別出的6202個危險漏洞中,約有3900個(62.4%)將保持模型的高嚴重程度評級,這還不包括50位Glasswing項目參與者單獨識別出的危險漏洞。
審查公司的代表已與開源專案維護者分享了 467 個已驗證漏洞的資訊。應維護者的要求,Anthropic 的員工也直接與維修者分享了 1129 個未經驗證的問題資訊。總計,281 個開源專案的維護者收到了 1596 個問題的訊息,並確認了其中 1451 個漏洞的存在。然而,目前程式碼庫中僅修復了 97 個問題,並發布了 88 份公開漏洞報告。
此外,據報道,50名提前獲得Mythos模型存取權限的Glasswing專案參與者在其程式碼庫中發現了超過10個危險漏洞。例如,Cloudflare使用Mythos發現了超過2000個漏洞,其中400個被評為高風險和嚴重漏洞。 Cloudflare的誤報率低於人工測試。 Mozilla在測試Firefox 150時,使用Mythos發現了271個漏洞,是使用Claude Opus 4.6模型測試Firefox 148時發現漏洞數量的10倍。
以下是一個已解決的關鍵問題的範例:
WolfSSL 加密庫中存在漏洞 (CVE-2026-5194)。 Mythos 已成功開發出利用該漏洞的程序,攻擊者可利用該程序為網站和電子郵件帳戶產生偽造的 ECDSA 憑證。 服務器此憑證經 wolfSSL 函式庫驗證後被判定為有效。問題在於程式碼中缺少哈希大小和 OID 檢查,導致憑證中指定的哈希大小小於允許值。
來源: opennet.ru
