Дата публикации:Wed, 08 Apr 2026 13:25:13 +0300
Компания Anthropic представила проект Glasswing, в рамках которого предоставит доступ к предварительному варианту AI-модели Claude Mythos с целью выявления уязвимостей и повышения безопасности критически важного программного обеспечения. В число участников проекта включена организация Linux Foundation, а также компании Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA и Palo Alto Networks. Приглашения принять участие в проекте также получили ещё около 40 организаций.
Выпущенная в феврале AI-модель Claude Opus 4.6 достигла нового качественного уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок, рецензирование изменений и генерация кода, который позволил выявить более 500 уязвимостей в открытых проектах, сгенерировать Си-компилятор, способный собрать ядро Linux. При этом модель Claude Opus 4.6 слабо справлялась с работой по созданию рабочих эксплоитов.
Модель следующего поколения "Claude Mythos" по заявлению Anthropic кардинально опережает Claude Opus 4.6 в области написания готовых эксплоитов. Из нескольких сотен попыток создания эксплоитов для уязвимостей, выявленных в JavaScript-движке Firefox 147, в Claude Opus 4.6 лишь две попытки увенчались успехом. При повторении эксперимента с использованием предварительного варианта модели Mythos рабочие эксплоиты удалось создать 181 раз. Процент создания успешных эксплоитов вырос с почти нуля до 72.4%.
Так как открытие неограниченного доступа к AI-модели с подобными возможности требует подготовки индустрии, решено вначале открыть доступ к предварительной редакции узкому кругу экспертов для проведения работы по поиску и устранению уязвимостей в критических важных программных продуктах и открытом ПО. Для финансирования проведения инициативы выделена субсидия на оплату токенов, размером 100 млн долларов, а также решено распределить 4 млн долларов в качестве пожертвований организациям, занимающимся поддержанием безопасности открытых проектов.
В тестовом наборе CyberGym, оценивающем способность моделей выявлять уязвимости, модель Mythos показала уровень 83.1%, а Opus 4.6 - 66.6%. В тестах на качество написания кода модели продемонстрировали следующие показатели:
ТестMythosOpus 4.6 SWE-bench Pro 77.8% 53.4% Terminal-Bench 2.0 82.0% 65.4% SWE-bench Multimodal 59% 27.1% SWE-bench Multilingual 87.3% 77.8% SWE-bench Verified 93.9% 80.8%
В ходе эксперимента компания Anthropic за несколько недель при помощи AI-модели Mythos смогла выявить несколько тысяч ранее неизвестных (0-day) уязвимостей, многие из которых отмечены как критические. Среди прочего была найдена 27 лет остававшаяся незамеченной уязвимость в TCP-стеке OpenBSD, позволяющая удалённо инициировать аварийное завершение работы системы. Также найдена существовавшая 16 лет уязвимость в реализации кодека H.264 от проекта FFmpeg, и уязвимости в кодеках H.265 и av1, эксплуатируемые при обработке специально оформленного контента.В ядре Linux выявлено несколько уязвимостей, позволяющих непривилегированному пользователю получить права root. Связывание несколько выявленных уязвимостей в цепочку дало возможность создать эксплоиты, позволяющие добиться получения прав root при открытии специальных страниц в web-браузере. Также создан эксплоит, позволивший выполнить код с правами root через отправку специально оформленных сетевых пакетов на NFS-сервер из состава FreeBSD.
В одной из систем виртуализации выявлена и эксплуатирована уязвимость, позволяющая через манипуляции в гостевой системе выполнить код на стороне хоста (название не приводится, так как проблема ещё не исправлена, но упоминается, что уязвимость присутствует в unsafe-блоке в коде на Rust). Найдены уязвимости во всех популярных web-браузерах и криптографических библиотеках. Выявлены уязвимости, приводящие к подстановке SQL-кода, в различных web-приложениях.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=65165