Главная
Новости
Подробнее

Anthropic запускает проект Project Glasswing на $100 млн с 12 крупными технологическими компаниями для устранения глобальных уязвимостей программного обеспечения

iconTechFlow
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Anthropic объявила о проекте Glasswing — инициативе на $100 млн с участием AWS, Apple, Google, Microsoft, NVIDIA и девяти других технологических гигантов для борьбы с глобальными уязвимостями программного обеспечения. Проект использует ИИ-модель Anthropic Claude Mythos Preview для обнаружения и устранения критических уязвимостей до их эксплуатации. Компания предоставляет $100 млн в виде кредитов на использование модели и $4 млн прямой поддержки группам с открытым исходным кодом в области безопасности. Модель уже обнаружила тысячи нулевых дней уязвимостей в основных ОС и браузерах, некоторые из которых существуют десятилетиями. Анонс проекта подчеркивает более широкое стремление к обеспечению безопасности цифровой инфраструктуры, что согласуется с текущими глобальными дискуссиями о политике в области криптовалют.

Автор: Anthropic

DeepWave TechFlow

DeepChaо обзор: Anthropic выпустила передовую модель Claude Mythos Preview, еще не доступную публике, способность которой к аудиту кода превосходит большинство человеческих экспертов по безопасности и позволяет самостоятельно обнаруживать нулевые уязвимости, существующие десятилетиями.

На основе этой способности Anthropic совместно с AWS, Apple, Google, Microsoft, NVIDIA и еще 10 крупными технологическими компаниями запустила проект Project Glasswing, выделив кредитный лимит в 100 миллионов долларов США с целью устранить уязвимости в ключевом программном обеспечении по всему миру до того, как злоумышленники приобретут аналогичные возможности.

Введение

Сегодня мы объявляем о проекте Glasswing — новой инициативе, объединяющей Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks, целью которой является защита наиболее важного программного обеспечения в мире.

Мы запустили Project Glasswing, потому что новый передовой модель, обученная Anthropic, продемонстрировала способности, которые, по нашему мнению, могут изменить ландшафт кибербезопасности. Claude Mythos Preview — это универсальная, еще не выпущенная передовая модель, которая раскрывает суровую правду: способности ИИ-моделей в программировании достигли такого уровня, что они могут превзойти всех, кроме самых顶尖ных экспертов, в обнаружении и эксплуатации уязвимостей программного обеспечения.

Mythos Preview уже обнаружил тысячи критических уязвимостей, охватывающих каждую основную операционную систему и каждый основной веб-браузер. С учетом темпов развития ИИ, такая способность в ближайшем будущем распространится и может попасть в руки неответственных пользователей. Последствия для экономики, общественной безопасности и национальной безопасности могут быть крайне серьезными. Project Glasswing — это срочная попытка направить эти возможности в первую очередь на защиту.

В рамках проекта Glasswing вышеуказанные партнеры будут использовать Mythos Preview в своей оборонительной безопасности; Anthropic поделится полученными знаниями, чтобы принести пользу всей отрасли. Мы также предоставили доступ более чем 40 другим организациям, которые разрабатывают или поддерживают критически важную программную инфраструктуру, чтобы они могли сканировать и укреплять свои собственные системы и открытые системы. Anthropic обязалась выделить до 100 миллионов долларов США в виде кредитов на использование Mythos Preview, а также прямые пожертвования в размере 4 миллионов долларов США организациям, занимающимся безопасностью открытого кода.

Project Glasswing — это только начало. Ни одна организация не может решить проблемы кибербезопасности в одиночку: передовые разработчики ИИ, другие программные компании, исследователи в области безопасности, сопровождающие открытые проекты и правительства всех стран играют незаменимую роль. Защита глобальной сетевой инфраструктуры может занять годы; в то время как возможности передовых ИИ могут значительно продвинуться уже в ближайшие месяцы. Чтобы получить преимущество, киберзащитникам нужно действовать уже сейчас.

Кибербезопасность в эпоху ИИ

Программное обеспечение, на которое мы полагаемся каждый день — работающее в банковских системах, хранящее медицинские записи, соединяющее логистические сети и поддерживающее работу электросетей — всегда содержит ошибки. Большинство из них незначительны, но некоторые представляют серьезные уязвимости безопасности: как только они обнаруживаются, злоумышленники могут захватить систему, парализовать операции или украсть данные.

Вредные последствия кибератак на корпоративные сети, медицинские системы, энергетическую инфраструктуру, транспортные узлы и правительственные учреждения всех стран уже хорошо известны. На глобальном уровне национальные атаки из Китая, Ирана, Северной Кореи и России угрожают инфраструктуре, обеспечивающей гражданскую жизнь и военную готовность. Даже небольшие атаки на отдельные больницы или школы могут привести к огромным экономическим потерям, раскрытию конфиденциальных данных и даже угрожать жизни. Годовой экономический ущерб от глобальной киберпреступности трудно точно оценить, но он, вероятно, составляет около 500 миллиардов долларов.

Раньше многие программные уязвимости оставались незамеченными годами, поскольку их обнаружение и эксплуатация требовали специализированных знаний, доступных лишь крайне небольшому числу специалистов по безопасности. Однако с появлением самых передовых моделей ИИ стоимость, усилия и профессиональный барьер для обнаружения и эксплуатации уязвимостей в программном обеспечении значительно снизились. За последний год модели ИИ продемонстрировали всё более сильные способности в чтении и анализе кода, особенно в обнаружении уязвимостей и создании эксплойтов — их результаты поразительны. Claude Mythos Preview достигла прорыва в этих навыках кибербезопасности — некоторые уязвимости, которые она обнаружила, оставались незамеченными даже после десятилетий ручного анализа и миллионов автоматизированных тестов на безопасность, а разработанные ею эксплойты становятся всё более изощрёнными.

Спустя десять лет после первого DARPA Cyber Grand Challenge передовые модели ИИ приближаются к уровню и даже превосходят способности лучших людей в обнаружении и эксплуатации уязвимостей. Без необходимых мер безопасности эти мощные киберспособности могут быть использованы для эксплуатации огромного количества существующих уязвимостей в самом важном программном обеспечении мира. Кибератаки станут более частыми, разрушительными и усилят позиции противников США и их союзников. Это — приоритетная задача безопасности, которую должны учитывать демократические страны.

Хорошая новость заключается в том, что способности, которые делают ИИ-модели опасными в неправильных руках, делают их чрезвычайно ценными для обнаружения и устранения важных дефектов программного обеспечения — а также помогают создавать новые программные продукты с меньшим количеством уязвимостей. Project Glasswing — это важный шаг к тому, чтобы защитники смогли обеспечить долгосрочное преимущество в надвигающейся эпохе кибербезопасности, управляемой ИИ.

Способность Claude Mythos Preview обнаруживать уязвимости и способы их эксплуатации

За последние несколько недель мы с помощью Claude Mythos Preview обнаружили тысячи нулевых уязвимостей (то есть дефектов, о которых разработчики программного обеспечения ранее не знали) в каждой основной операционной системе, каждом основном браузере и ряде других важных программ, многие из которых имеют высокий уровень опасности.

На блоге Frontier Red Team мы раскрыли технические детали части уже устранённых уязвимостей, а также способы эксплуатации, найденные Mythos Preview. Практически все эти уязвимости (а также разработка многих связанных способов эксплуатации) были обнаружены и созданы моделью полностью автономно, без какого-либо человеческого руководства. Вот три примера:

  • В OpenBSD обнаружена уязвимость, существовавшая 27 лет. OpenBSD известен исключительно высоким уровнем безопасности и широко используется в межсетевых экранах и других критически важных инфраструктурах. Эта уязвимость позволяет злоумышленнику удаленно вызвать сбой на целевом устройстве просто путем подключения к нему.
  • Он также обнаружил уязвимость в FFmpeg, существовавшую 16 лет. FFmpeg используется бесчисленным количеством программ для кодирования и декодирования видео. Проблема заключалась в одной строке кода, и инструменты автоматического тестирования уже многократно проверяли эту строку — более 5 миллионов раз — но никогда не выявляли проблему.
  • Эта модель самостоятельно обнаружила и объединила несколько уязвимостей в ядре Linux (ядро Linux управляет большинством серверов мира), обеспечив атаку по повышению привилегий от обычных пользовательских прав до полного контроля над машиной.

Мы сообщили обо всех вышеупомянутых уязвимостях соответствующим разработчикам программного обеспечения, и все они уже исправлены. Для многих других уязвимостей мы сегодня предоставили криптографические хеши (см. блог Red Team), а подробную информацию раскроем после завершения исправлений.

Оценочные стандарты, такие как CyberGym, также подтвердили значительный разрыв между Mythos Preview и нашей второй по мощности моделью Claude Opus 4.6:

Воспроизведение уязвимости кибербезопасности - CyberGym

изображение

Помимо нашей собственной работы, многие партнеры уже несколько недель используют Claude Mythos Preview. Вот их отзывы:

Возможности ИИ преодолели порог, который кардинально и необратимо изменил срочность защиты критически важной инфраструктуры от киберугроз. На основе нашей работы с этими моделями мы показали, что можно выявлять и устранять уязвимости в аппаратном и программном обеспечении с беспрецедентной скоростью и масштабом. Это глубокий сдвиг и четкий сигнал: старые методы усиления систем уже не подходят. Поставщики технологий должны немедленно активно внедрять новые подходы, а клиенты должны быть готовы к их внедрению. Именно поэтому Cisco присоединяется к Project Glasswing — эта работа слишком важна и срочна, чтобы действовать в одиночку.

—— Энтони Гричо, старший вице-президент и главный офицер по безопасности и доверию Cisco

В AWS мы строим защиту еще до появления угроз — от пользовательских чипов до всей технологической стеки. Безопасность — это не этап, а постоянный процесс, встроенный во все, что мы делаем. Наша команда ежедневно анализирует более 400 триллионов сетевых потоков для выявления угроз, и ИИ является основой нашей масштабируемой защиты. Мы постоянно тестируем Claude Mythos Preview в собственных операциях по безопасности, применяя его к ключевым кодовым базам — он уже помогает нам укреплять код. Мы вкладываем глубокие экспертные знания в безопасность в наше сотрудничество с Anthropic и помогаем укрепить Claude Mythos Preview, чтобы больше организаций могли продвигать свою работу с соблюдением высочайших стандартов безопасности.

—— Эми Герцог, вице-президент и главный информационный безопасник Amazon Web Services

Когда кибербезопасность перестает быть ограниченной исключительно человеческими возможностями, возможность ответственного использования ИИ для масштабного повышения безопасности и снижения рисков беспрецедентна. Присоединившись к Project Glasswing и получив доступ к Claude Mythos Preview, мы можем выявлять и смягчать риски на ранних этапах, улучшая наши решения в области безопасности и разработки, чтобы лучше защищать клиентов и Microsoft. При тестировании на нашем открытом стандарте кибербезопасности CTI-REALM Claude Mythos Preview продемонстрировал существенное улучшение по сравнению с предыдущими моделями. Мы стремимся сотрудничать с Anthropic и более широкой отраслью для улучшения результатов в области безопасности для всех.

—— Игорь Цыганский, исполнительный вице-президент по кибербезопасности и исследованиям Microsoft

Окно времени между обнаружением уязвимости и ее эксплуатацией злоумышленниками сократилось — то, что раньше занимало месяцы, теперь с помощью ИИ можно сделать за несколько минут. Claude Mythos Preview демонстрирует возможность масштабных действий со стороны защитников, в то время как противники неизбежно будут стремиться использовать те же возможности. Это не повод замедляться, а повод ускориться. Для внедрения ИИ необходима безопасность. Именно поэтому CrowdStrike участвует в этом с первого дня.

—— Элия Цайцев, главный технологический директор CrowdStrike

Раньше экспертиза в области безопасности была роскошью, доступной только организациям с крупными командами безопасности. Сопровождающие открытого программного обеспечения, чьи программы поддерживают большую часть критически важной инфраструктуры мира, традиционно вынуждены были решать проблемы безопасности самостоятельно. Открытое программное обеспечение составляет подавляющую часть кода в современных системах, включая сами системы, которые используются ИИ-агентами для написания нового программного обеспечения. Project Glasswing предоставляет реальный путь для изменения этой ситуации, предоставляя сопровождающим этих ключевых библиотек открытого программного обеспечения доступ к новому поколению ИИ-моделей, способных масштабно и активно выявлять и устранять уязвимости. Именно так ИИ-усиленная безопасность превращается из эксклюзивного инструмента крупных команд в надежного помощника для каждого сопровождающего.

—— Джим Землин, генеральный директор Linux Foundation

Создание кибербезопасности и устойчивости финансовой системы является ключевой частью миссии JPMorgan Chase, и мы считаем, что отрасль наиболее сильна, когда ведущие учреждения совместно работают над общими вызовами. Project Glasswing предоставляет уникальную раннюю возможность оценить возможности новых поколений инструментов ИИ в защите критически важной инфраструктуры в соответствии с нашими собственными стандартами, одновременно сотрудничая с уважаемыми лидерами в области технологий. Мы применим строгий и независимый подход для определения того, как продвигаться вперед и как оказать помощь. Инициатива Anthropic отражает перспективный и сотруднический подход, необходимый в этот момент.

— Пат Опет, главный информационный безопасник JPMorgan Chase

Google рад видеть формирование этого межотраслевого инициативы по кибербезопасности и предоставляет участникам Mythos Preview через Vertex AI. Сотрудничество отрасли в решении новых проблем безопасности всегда было критически важным, будь то постквантовая криптография, ответственное раскрытие уязвимостей нулевого дня, безопасность программного обеспечения с открытым исходным кодом или защита от атак на основе ИИ. Мы всегда верили, что ИИ несет как новые вызовы, так и новые возможности в киберзащите, именно поэтому мы создали такие ИИ-ориентированные инструменты, как Big Sleep и CodeMender, для обнаружения и устранения критических дефектов программного обеспечения. Мы продолжим инвестировать в передовые платформы кибербезопасности и культуру, ориентированную на защиту пользователей, клиентов, экосистемы и национальной безопасности.

— Хизер Адкинс, вице-президент по безопасности инженерных проектов Google

В течение последних нескольких недель мы использовали модель Claude Mythos Preview для выявления сложных уязвимостей, которые полностью упускались предыдущими моделями. Это не только изменило правила игры в обнаружении скрытых уязвимостей, но и означает, что злоумышленники вскоре смогут находить и эксплуатировать больше нулевых дней быстрее, чем когда-либо прежде. Очевидно, что эти модели должны быть переданы владельцам открытых проектов и всем защитникам, чтобы обнаружить и устранить уязвимости до того, как злоумышленники получат к ним доступ. Возможно, еще важнее: всем необходимо подготовиться к появлению AI-помощников для атакующих. Атаки станут более частыми, быстрыми и сложными. Пришло время всестороннего обновления систем кибербезопасности. Мы высоко ценим сотрудничество Anthropic с отраслью, направленное на то, чтобы эти мощные возможности в первую очередь служили обороне.

— Ли Кларич, главный продуктный и технический директор Palo Alto Networks

Claude Mythos Preview обладает мощными возможностями кибербезопасности благодаря превосходным навыкам кодирования и рассуждения агентов. Результаты оценки показывают, что эта модель набрала наивысший балл среди всех известных моделей по ряду задач программирования.

Агентное кодирование

изображение

Рассуждение

изображение

Agent search and computer use

изображение

Примечание:

  • SWE-bench Verified, Pro и Multilingual: кэширование проверки отметило часть задач. После исключения задач, потенциально подверженных кэшированию, преимущество Mythos Preview над Opus 4.6 сохраняется.
  • SWE-bench Multimodal: Используется внутренняя реализация, баллы нельзя напрямую сравнивать с открытым рейтингом.
  • Terminal-Bench 2.0: с использованием фреймворка Terminus-2, режим адаптивного мышления с максимальными усилиями, общий бюджет на задачу — 1 млн токенов, ресурсы 1x гарантия / 3x лимит, среднее значение по 5 попыток на задачу. После повышения лимита времени до 4 часов и обновления до Terminal-Bench 2.1, результат Mythos Preview составил 92,1%.
  • BrowseComp: Claude Mythos Preview набрал больше очков, чем Opus 4.6, при этом потребление токенов составляет всего 1/4.9 от его объема.
  • Последний экзамен человечества: Mythos показывает хорошие результаты даже в режиме с низкими усилиями, что может указывать на определённую степень заучивания.

Более подробную информацию о возможностях модели, ее безопасных характеристиках и основных функциях см. в Claude Mythos Preview System Card.

Мы не планируем открывать Claude Mythos Preview для широкой публики, но наша конечная цель — позволить пользователям безопасно масштабно развертывать модели уровня Mythos — не только для кибербезопасности, но и для множества других преимуществ, которые принесут такие мощные модели. Для этого нам необходимо добиться прогресса в разработке мер безопасности для кибербезопасности (и других областей), способных обнаруживать и блокировать самые опасные выходные данные моделей. Мы планируем выпустить новые меры безопасности в предстоящей модели Claude Opus, что позволит нам улучшить и отточить эти меры с помощью модели, не обладающей тем же уровнем риска, что и Mythos Preview.

Следующие шаги проекта Glasswing

Сегодняшний релиз является началом долгосрочных усилий. Для успеха требуется широкое участие как внутри, так и за пределами технологической отрасли.

Партнеры Project Glasswing получат доступ к Claude Mythos Preview для выявления и устранения уязвимостей и слабых мест в своих базовых системах — системах, составляющих значительную часть глобальной поверхности атаки. Ожидаемые приоритеты включают обнаружение локальных уязвимостей, бинарное тестирование в черном ящике, усиление конечных точек и тестирование на проникновение систем.

Anthropic выделила 100 миллионов долларов на использование моделей для Project Glasswing и других участников, чего будет достаточно для покрытия значительного объема использования в течение периода предварительного просмотра. После этого Claude Mythos Preview будет доступен участникам по цене 25 долларов США / 125 долларов США за миллион входящих / исходящих токенов (участники могут получить доступ к модели через Claude API, Amazon Bedrock, Google Cloud Vertex AI и Microsoft Foundry).

Помимо использования квоты модели, мы также пожертвовали 2,5 миллиона долларов США Фонду Линукс для Alpha-Omega и OpenSSF, а также 1,5 миллиона долларов США Фонду программного обеспечения Apache, чтобы помочь сопровождающим открытого программного обеспечения адаптироваться к изменяющейся ситуации (заинтересованные сопровождающие могут подать заявку на доступ через программу Claude for Open Source).

Мы планируем продолжать расширять эту работу в течение нескольких месяцев и максимально широко делиться опытом, чтобы другие организации могли применить его в своей собственной безопасности. Партнеры будут обмениваться информацией и передовыми практиками в пределах, допускаемых условиями; в течение 90 дней Anthropic опубликует отчет о наших находках, а также о исправленных уязвимостях и улучшениях, которые можно раскрыть. Мы также будем сотрудничать с ведущими организациями в области безопасности для разработки практических рекомендаций по эволюции практик безопасности в эпоху ИИ, которые могут охватить: процессы раскрытия уязвимостей, процессы обновления программного обеспечения, безопасность открытого кода и цепочек поставок, жизненный цикл разработки программного обеспечения и практики безопасного проектирования, отраслевые стандарты для регулируемых секторов, телеметрия и автоматизация, а также автоматизация патчей.

Anthropic продолжает обсуждать с должностными лицами правительства США возможности защиты и атаки в области кибербезопасности Claude Mythos Preview. Защита критически важной инфраструктуры является первоочередной задачей национальной безопасности демократических стран — появление этих возможностей в области кибербезопасности вновь подчеркивает, что США и их союзники должны сохранять решающее лидерство в технологиях ИИ. Правительство играет незаменимую роль в поддержании этого лидерства, а также в оценке и смягчении национальных рисков, связанных с моделями ИИ. Мы готовы сотрудничать с представителями всех уровней власти для выполнения этих задач.

Мы надеемся, что Project Glasswing станет катализатором для более масштабных усилий, объединяющих промышленность и государственный сектор, направленных на решение ключевых проблем, связанных с безопасностью мощных моделей. Мы приглашаем других участников AI-индустрии присоединиться и помочь в разработке отраслевых стандартов. В среднесрочной перспективе независимый третий орган, способный объединить организации частного и государственного секторов, может стать идеальной платформой для дальнейшей реализации этих крупномасштабных кибербезопасностных инициатив.

Примечание

  1. Проект назван в честь бабочки со стеклянными крыльями (Greta oto). Эта метафора имеет два значения: прозрачные крылья бабочки позволяют ей становиться невидимой, как уязвимости, скрытые в коде, о которых идет речь в этой статье; прозрачные крылья также помогают ей избегать вреда, подобно нашему подходу, основанному на прозрачности.
  2. Слово «Mythos» происходит от древнегреческого языка и означает «повествование» или «история»: система историй, которые цивилизации используют для понимания мира.
  3. Специалисты по безопасности, чья легальная деятельность затрагивается этими мерами безопасности, могут подать заявку на предстоящую программу киберверификации (Cyber Verification Program).
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.