Ang pinakabagong AI model ni Anthropic ay naghanap ng mga bug sa open-source software. Nahanap ito ng marami.
Ang Claude Mythos Preview, ang autonomous vulnerability detection model ng kumpanya, ay nakakita ng higit sa 23,000 potensyal na security vulnerabilities sa higit sa 1,000 open-source projects mula sa OSS-Fuzz corpus. Sa mga ito, 1,726 ay napatotohanan sa pamamagitan ng panlabas na pagsusuri. Higit sa 1,000 sa mga napatotohanang bug ay rate na high o critical severity.
Mga bug na nakaraang dekada, bago lang naibahagi
Sa mga butas na tinalakay ni Mythos: isang 27-taong-lumang security flaw sa OpenBSD at isang 16-taong-lumang vulnerability sa FFmpeg. Parehong malawakang ginagamit, mga pangunahing bahagi ng open-source infrastructure.
Higit sa 99% ng mga zero-day vulnerability na natuklasan ng Mythos ay hindi pa nalulutas sa panahon ng pagpapahayag, ayon sa mga pagsusuri ng modelo.
Ang Project Glasswing at ang pagsisiguro ng $100 milyon
Ipinakilala ni Anthropic ang Project Glasswing, isang kontroladong konsorsiyum na nagbibigay ng access sa Mythos Preview sa mga piliing kasapi upang matukoy at harapin ang mga kritikal na vulnerability sa kanilang sariling software.
Ang listahan ng mga kasosyo ay kasama ang AWS, Apple, Google, Microsoft, NVIDIA, at JPMorgan Chase. Sinumpa ng Anthropic ang hanggang $100 milyon sa credits para sa paggamit ng modelo upang suportahan ang pagsisikap na ito. Bukod dito, higit sa $4 milyon ang natukoy partikular para sa pagpapalakas ng kaligtasan ng mga open-source project.
Sa pamamagitan ng paglalagay ng Mythos sa isang programa na may kontroladong pag-access kaysa maglabas nito nang malawak, pinapanatili ng Anthropic ang isang propiyetaryong kahusayan. Kumikilos na ang mga diskusyon tungkol sa kung maaari bang maisagawa ang katulad na paghahanap ng mga vulnerable na punto gamit ang mga modelo na available sa publiko.
Ano ang ibig sabihin nito sa larangan ng cybersecurity
Ang paghahanap ng higit sa 23,000 potensyal na vulnerabilities sa isang pagkakataon, kasama ang higit sa 1,000 na kumpirmadong may mataas o kritikal na antas ng gravidad, ay naglilipat sa usapan mula sa teoretikal patungo sa operasyonal.
Ang 1,726 na kumpirmadong vulnerabilities ay kailangan pa ng panlabas na pagsusuri para sa pagpapatotoo. Dahil higit sa 99% ng zero-days na natuklasan ni Mythos ay hindi pa na-patch sa pagpapahayag, ang pag-patch at pagpapabuti ay hindi nakatugon sa bilis ng mga natuklasan ng AI.