Anthropic 最新的 AI 模型剛剛開始在開源軟體中尋找漏洞,並發現了大量漏洞。
Claude Mythos 預覽版——該公司的自主漏洞檢測模型——從 OSS-Fuzz 資料集中抽取了超過 1,000 個開源項目,發現了超過 23,000 個潛在的安全漏洞。其中,1,726 個已通過外部審查確認。超過 1,000 個已確認的漏洞被評定為高危或嚴重級別。
數十年的漏洞,最近浮現
Mythos 標示的漏洞包括:OpenBSD 中一個 27 年前的安全漏洞,以及 FFmpeg 中一個 16 年前的漏洞。這兩個都是廣泛使用、基礎性的開源基礎設施。
根據該模型的評估,Mythos 發現的零日漏洞中,超過 99% 在披露時仍未修補。
Project Glasswing 與 1 億美元的承諾
Anthropic 推出了 Project Glasswing,這是一個受控聯盟,讓特定合作夥伴能夠存取 Mythos Preview,以識別並修復其自身軟體中的關鍵漏洞。
合作夥伴名單包括 AWS、Apple、Google、Microsoft、NVIDIA 和 JPMorgan Chase。Anthropic 已承諾提供高達 1 億美元的模型使用信用額度,以支持此項工作。此外,已專門撥出超過 400 萬美元,用於提升開源項目的安全性。
Anthropic 透過將 Mythos 置於受控存取計劃中,而非廣泛發布,維持了其專有優勢。目前已有討論在流傳,探討是否能使用公開可用的模型實現類似的弱點檢測。
這對網路安全格局意味著什麼
單次掃描發現超過 23,000 個潛在漏洞,其中超過 1,000 個被確認為高或嚴重級別,將討論從理論轉向實際操作。
1,726 個已確認的漏洞仍需外部審查以驗證。由於 Mythos 發現的零日漏洞在披露時超過 99% 仍未修補,修補與補救措施未能跟上 AI 發現的速度。