Головна
Новини
Детальніше

Anthropic's Mythos виявила 10 000+ критичних вразливостей програмного забезпечення за 30 днів

iconMetaEra
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconКороткий зміст

expand icon
Anthropic’s Mythos, у рамках проекту Glasswing, виявила понад 10 000 критичних помилок у програмному забезпеченні за 30 днів, працюючи з 50 ключовими розробниками. Штучний інтелект виявив проблеми в Cloudflare, Firefox та OpenBSD і зупинив спробу шахрайства на суму $1,5 мільйона. Зі зростанням викликів для заходів CFT, швидкість виявлення за допомогою ШІ зараз перевищує швидкість виправлення людиною, що призводить до зростання відставання. З наближенням введення в дію MiCA, тиск на забезпечення безпеки інфраструктури зростає.
Перший бій плану «Скляне крило» заводу A закінчився успіхом: Mythos виявив 10 тисяч критичних уразливостей протягом 30 днів і навіть зупинив 1,5 мільйона доларів США кібершахрайства! Перед снігопадом звітів людські програмісти зламалися і молили: «Будь ласка, більше не шукайте — ми не встигаємо все виправляти!»

Автор статті, джерело: ASI Апокаліпсис, Нове штучне інтелекту

Щойно Anthropic опублікувала ще одну потужну новину, яка вразила світове технологічне та безпекове співтовариство.

Звіт за перший місяць «Проекту скляних крил» офіційно опубліковано!

У цій таємній операції Anthropic вперше використала наступне покоління найкращих великих моделей — Claude Mythos Preview.

За всього 30 днів він об’єднав близько 50 провідних компаній світу та розробників програмного забезпечення для критично важливої інфраструктури і виявив понад 10 000 вразливостей програмного забезпечення високого або критичного рівня!

Ще страшніше те, що він не лише знаходить вразливості, а й може «кінець до кінця» автоматично побудувати ланцюжок атак.

Навіть у справжньому бізнесі одного з партнерських банків було успішно зупинено мошенницький переказ на 1,5 мільйона доларів США!

На мить увесь безпековий світ був у шоці.

Деякі експерти з безпеки навіть відчайдушно закричали в X: «Основа інтернету була перевернута навиворіт штучним інтелектом… Можливо, ми справді загинемо!»

Божевільний місяць: Глобальні технологічні гіганти випробували Mythos — наскільки він жахливий

У квітні 2026 року Anthropic таємно запустила Project Glasswing. Ця назва символізує бажання зробити найважливіші пропрієтарні та відкриті програми прозорими та безпечними.

Першими, хто приєднався до цієї програми, є приблизно 50 розробників програмного забезпечення для критичної інфраструктури.

Після отримання доступу до тестової версії Claude Mythos, за один місяць уся індустрія була потрясена.

Подивіться на цей осліплюючий звіт—

Cloudflare повідомив, що в надзвичайно критичних системах основного шляху Mythos виявив 2000 вразливостей! З них 400 відносяться до високого або критичного рівня.

Ще більш дивно, що команда безпеки Cloudflare вигукнула: похибка цього ШІ навіть нижча, ніж у найкращих людських тестувальників безпеки.

У найновішому тестовому випуску Firefox 150 від Mozilla Mythos виправив 271 критичну вразливість.

Це число більше ніж у 10 разів перевищує кількість вразливостей, виявлених раніше у Firefox 148 з використанням Opus 4.6!

Результати, повідомлені OpenBSD, справді лякають: Mythos виявив у кодовій базі OpenBSD давній баг, який приховувався цілих 27 років!

Крім того, модель сама побудувала повний ланцюжок експлуатації вразливості, не потребуючи участі людини.

Британський інститут безпеки ШІ надав офіційне схвалення. Вони підтвердили, що Mythos Preview — це перша у світі модель ШІ, яка здатна повністю подолати їхню подвійну мережеву мішень у режимі end-to-end.

У практичній обороні Mythos також показав себе відмінно.

У спільному банку хакерська група успішно взломала електронну пошту клієнтів і використала технологію клонування голосу на основі ШІ для здійснення шахрайських дзвінків.

У самий останній момент, коли ця надзвичайно велика переказна операція на 1,5 мільйона доларів США мала бути виконана, модель Mythos за допомогою аналізу аномальних ланцюжків у реальному часі миттєво в обнаружила обман і зупинила транзакцію!

«Ми, ця група експертів з безпеки людей, схожі на первісних людей зі списами, що дивляться, як над головою пролітає F-22», — зазначив дослідник з безпеки, що брав участь у внутрішньому тестуванні, у X.

Десятки мільйонів вразливих пристроїв по всьому світу були врятовані Mythos!

Однак Mythos також спричинив кризу виробничих потужностей.

Раніше основним обмеженням у світі кібербезпеки було виявлення вразливостей. Знайти високопріоритетну нульову днівку може зайняти у топових білих шапок кілька тижнів або навіть місяців.

А зараз Claude Mythos зменшив витрати та час на пошук вразливостей до «наближення до нуля».

Anthropic провела сканування більше ніж 1000 ключових відкритих проектів, на яких ґрунтується робота Інтернету. Результати лякають —

Загалом виявлено 23 019 уразливостей, з яких 6 202 — високого або критичного рівня за оцінкою Mythos!

Щоб переконатися, що AI не «брехне», Anthropic об’єднався з шістьма найкращими незалежними світовими компаніями зі сфері безпеки для ручної перевірки.

Виявлено: точність справжніх позитивів (тобто реальна наявність вразливостей) штучного інтелекту досягає 90,6%! У підсумку було підтверджено, що 1 094 з них — це беззаперечні високонебезпечні або серйозні вразливості.

Відкритий інформаційний прилад для виявлення вразливостей, що відображає всі рівні серйозності

Тут обов’язково треба навести надзвичайно типовий приклад — wolfSSL.

wolfSSL — це надзвичайно відома відкрита криптографічна бібліотека, якою користуються десятки мільярдів пристроїв по всьому світу, включаючи пристрої IoT, маршрутизатори, розумні автомобілі тощо.

Однак перед Mythos лінія оборони wolfSSL виявилася безсильною. Mythos не тільки виявив надзвичайно прихований логічний ваду, але й сам написав набір атакуючого коду!

За допомогою цього коду хакери можуть довільно підробляти цифрові сертифікати, створюючи надзвичайно правдоподібні веб-сайти банків або сторінки входу до пошти, без будь-яких недоліків.

Якби ця вразливість не була виявлена та виправлена Mythos заздалегідь, наслідки могли б бути непередбачуваними, якщо б її використали зловмисники.

Десятки мільйонів пристроїв по всьому світу постійно перебували на межі небезпеки. Цього разу це виправив Mythos.

Епічний поворот: пошук багів більше не є обмеженням — виправлення багів тепер це!

Зі здійсненням Project Glasswing виникло дивне явище, якого ніколи не було в історії кібербезпеки.

Обмеженням кібербезпеки більше не є пошук уразливостей. Зараз обмеженням є те, що швидкість, з якою люди виправляють уразливості, набагато повільніша за швидкість, з якою AI виявляє уразливості.

Для супроводжувачів відкритого коду це справжній кошмар.

Звіти про вразливості від Anthropic літають, як сніжинки, до різних відкритих спільнот. Автори вже не в змозі з ними справлятися.

Не копайте! Будь ласка, сповільніть! Ми справді не встигаємо це виправляти!

За словами Anthropic, недавно кілька супроводжувачів відкритого коду надіслали листи з проханням зменшити темп розкриття вразливостей через серйозну нестачу персоналу.

Навіть отримавши детальний звіт, людські програмісти в середньому витрачають цілий тиждень на виправлення висококритичної вразливості.

На даний момент із 1129 вразливостей, поданих Anthropic авторам відкритого коду, лише 75 висококритичних вразливостей були успішно виправлені. Поточна екосистема безпеки серйозно перевантажена!

Магія перемагає магію: захист Anthropic

Оскільки люди вже не можуть це виправити, давайте використаємо магію, щоб перемогти магію.

Anthropic вирішив запустити «Комплект інструментів захисника».

Спочатку — важливе запуск Claude Security.

Це автоматизований інструмент, створений виключно для клієнтів Claude Enterprise. Його логіка така: я не просто допомагаю знайти вразливості у вашому кодовому базі, а й безпосередньо готую для вас патчі для виправлення.

Лише через три тижні після запуску корпоративні клієнти вже виправили за допомогою Opus 4.7 більше 2100 вразливостей!

Другим є «План верифікації мережі».

Anthropic почала дозволяти професійним білим шапкам, пентестерам та командам червоного/синього кольору відключити деякі «безпекові обмеження» моделі Claude в рамках законних та відповідних до норм умов для легальних досліджень вразливостей та тестування на цільових середовищах.

Цікавіше те, що Anthropic безкоштовно відкрила цілий «конвейер виявлення помилок».

1 Індивідуальні команди (навички): навчіть, як за допомогою ШІ зберігати концентрацію та проводити глибокий аналіз коду.

2 Автоматизована система (Harness): система керування, яка дозволяє Claude автоматично оглядати величезні кодові бази, клонувати підагентів для паралельного сканування, автоматично класифікувати вразливості та генерувати звіти.

3 Генератор моделювання загроз (Threat Model Builder): просто вставте код — AI автоматично виявить найбільш вразливі місця системи та визначить пріоритети для захисту.

Також виступила мережева гігант Cisco, оголосивши про відкриття коду системи «Foundry Security Spec» для створення захисної лінії, подібної до Mythos.

З цього моменту AI виявляє вразливості, а потім генерує патчі за допомогою AI, а люди відповідають лише за остаточну перевірку.

Це — фінальна форма майбутньої кібербезпеки.

Меч Дамоклеса: Коли Mythos офіційно вийде?

Отже, коли саме офіційно відкриється Claude Mythos?

Позиція Anthropic залишається дуже обережною.

Вони заявили, що після створення «потужніших і більш високорівневих захисних бар’єрів» моделі Mythos обов’язково будуть повністю запущені для загального доступу!

Ще не можна його випустити, бо він надто небезпечний.

Як зазначено у тестовому звіті XBOW: Mythos Preview досяг «поколінного лідерства над усіма існуючими моделями» у тестуванні веб-експлойтів і продемонстрував «абсолютну безпрецедентну точність» при генерації кожного токена.

Anthropic чітко розуміє, що наразі жодна компанія у світі не має достатньо потужних механізмів безпеки, щоб на 100% забезпечити, що ця модель не буде використана з неправильними цілями.

Якщо сьогодні оприлюднити API Mythos, завтра глобальні хакерські організації, а навіть деякі екстремістські групи, зможуть за дуже низьку вартість масово виробляти тисячі інструментів для використання Zero-day.

Звичайні комп’ютери, системи лікарень та центри управління електромережею стоятимуть перед катастрофою!

Рекомендації від Anthropic:

Скоротіть цикл виправлень! Скоротіть цикл виправлень! Скоротіть цикл виправлень! Не накопичуйте оновлення на місяць — використовуйте наявні інструменти ШІ (наприклад, Opus 4.7), щоб якомога швидше впровадити виправлення безпеки для користувачів.

2. Принудительна стратегія оновлення. Розробники повинні забезпечити, щоб користувачі встановлювали оновлення без будь-яких зусиль; для тих, хто відмовляється оновлюватися, застосовується принудове відключення від мережі. Повернення до основ безпеки.

3 Посилте двофакторну автентифікацію (MFA), підсилюйте за замовчуванням конфігурації та зберігайте детальні журнали. Тиша перед бурею

Тиша перед бурею

Місяць, понад 50 великих компаній об’єдналися, 10 000+ смертельних вразливостей, зупинено 1,5 мільйона доларів США кібершахрайства… Це лише початкові результати Claude Mythos Preview.

Зараз людські програмісти переживають період болісної адаптації — їх затоплено звітами ШІ та виправленням багів, які приховувалися протягом двох-трьох десятиліть.

Але, як і передбачало Anthropic —

Після подолання цих ризиків перед нами відкривається захоплюючий світ: у цьому світі ключовий код людства буде випробуваний і зроблений в сто разів міцнішим, ніж сьогодні, а хакерські атаки стануть надзвичайно рідкісним історичним поняттям.

Давайте тихо подякуємо штучному інтелекту за безперервну перевірку сотень мільйонів рядків коду.

Ймовірно, він щойно запобіг тобі смертельному ядерному вибуху.

Джерела:

https://x.com/AnthropicAI/status/20579091025425495

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.