Компания Anthropic опубликовала первый отчёт о работе Project Glasswing — программы по автоматическому поиску уязвимостей с помощью ИИ-модели Claude Mythos.
По данным компании, за месяц около 50 партнёров проекта обнаружили свыше 10 тысяч уязвимостей высокой и критической степени опасности. Основной проблемой, как отметили в Anthropic, стала не скорость обнаружения ошибок, а необходимость их проверки и последующего выпуска исправлений.
Нейросеть проанализировала более 1000 проектов с открытым исходным кодом и выявила 23 019 потенциальных уязвимостей разных уровней. Из них 6202 были первоначально классифицированы как критические или высокоопасные. После дополнительной проверки подтвердились более 90% находок, а почти две трети из них признали требующими срочного устранения.
Разработчикам уже передали информацию о 530 серьёзных уязвимостях, ещё более 800 готовятся к публикации. На данный момент исправлены 75 проблем, а по 65 выпущены официальные рекомендации по безопасности. В среднем устранение одной критической уязвимости занимает около двух недель.
Среди наиболее заметных случаев компания выделила проблему в криптографической библиотеке wolfSSL, где, по утверждению Anthropic, модель смогла смоделировать атаку для подделки сертификатов.
В Mozilla сообщили, что после тестирования Mythos в браузере Firefox 150 было исправлено 271 уязвимое место. Компания Cloudflare, в свою очередь, заявила об обнаружении примерно 2000 проблем безопасности, включая около 400 критических и высокоопасных.
Anthropic подчеркнула, что пока не планирует выпускать Claude Mythos в открытый доступ из-за высоких рисков безопасности. Компания намерена расширять Project Glasswing и сотрудничать с правительственными структурами США и стран-союзников.
Ранее Anthropic уже отказывалась от публичного релиза модели, объясняя решение потенциальными угрозами её использования в кибератаках.
