Anthropic: Project Glasswing виявляє вразливості в Claude Mythos

Як повідомляє Cyberscoop, компанія Anthropic розширює доступ до своєї програми Project Glasswing, додаючи близько 150 організацій у 15 країнах. Це рішення стало можливим завдяки тому, що модель Claude Mythos Preview вже виявила понад 10 000 програмних вразливостей високого або критичного рівня з моменту початку програми у квітні. Початкова когорта включала великих технологічних гравців, таких як Amazon Web Services, Google, Microsoft та NVIDIA.

Критична інфраструктура під мікроскопом AI

Нові партнери охоплюють галузі, які раніше були недостатньо представлені в першій хвилі програми. До них належать сектори енергетики, водопостачання, охорони здоров'я, комунікацій та виробництва апаратного забезпечення. Багато з цих нових партнерів є вендорами, чиї кодові бази лежать в основі систем критичної інфраструктури. Масштаби виявлених загроз викликають значний резонанс у сфері безпеки.

Швидкість та ефективність пошуку помилок

Модель Mythos продемонструвала надзвичайну здатність до виявлення недоліків. Наприклад, Cloudflare знайшов 2 000 помилок у своїх системах критичного шляху, із яких 400 були оцінені як високі або критичні. Ця ефективність була порівняна з результатами роботи людських тестувальників.

• Mozilla виявила та виправила 271 вразливість у Firefox 150 під час тестування моделі, що перевищує кількість знайдених у попередній версії більш ніж у 10 разів.
• Деякі інші партнери повідомили, що їхня швидкість виявлення помилок зросла більш ніж у 10 разів після розгортання моделі.
• Anthropic також використала Mythos для сканування понад 1 000 проєктів з відкритим кодом, позначивши 23 019 потенційних вразливостей, із яких 6 202 були оцінені як високі або критичні.

Людський фактор: вузьке місце безпеки

Незважаючи на покращену здатність AI до виявлення недоліків, компанія визнає проблеми з їхньою верифікацією, розкриттям та латанням до того, як хакери зможуть скористатися ними. «Вузьким місцем у виправленні таких помилок є людська спроможність проводити сортування (triage), звітувати про них і проєктувати й розгортати патчі», — зазначила компанія у своєму блозі.

Цей висновок має ширші наслідки. За спільним звітним документом від Cloud Security Alliance, SANS Institute та OWASP зроблено висновок, що організації «імовірно будуть перевантажені» в найближчому майбутньому загрозами, які створюють актори загроз із використанням AI для пошуку та експлуатації вразливостей швидше, ніж захисники можуть їх виправити. Anthropic підкреслила, що не випустить моделі рівня Mythos у загальний доступ через відсутність достатніх запобіжних заходів проти серйозного зловживання.

Натомість компанія представила Claude Security — продукт, який використовує її публічно доступну модель Claude Opus 4.8 і був застосований для виправлення понад 2 100 вразливостей за три тижні.