Модель искусственного интеллекта Claude Mythos обнаружила 23 тыс. уязвимостей в более чем 1 тыс. проектов с открытым исходным кодом, сообщила Anthropic. Из этого числа около 1,9 тыс. выявили сторонние компании в сфере кибербезопасности, свыше 1,7 тыс. были подтверждены, в том числе более 1 тыс. получили оценку высокой или критической степени серьёзности.
Эти результаты всё ещё находятся на стадии проверки. По оценкам Anthropic, на основании только текущих данных будет подтверждено около 3,9 тыс. критических и серьёзных уязвимостей. Поскольку сканирование продолжается, компания полагает, что число серьёзных уязвимостей может вырасти до 6,2 тыс.
В Anthropic пояснили, что количество исправлений пока относительно невелико по трём причинам. Во-первых, исследователи находятся в начале 90-дневного периода, установленного политикой скоординированного раскрытия уязвимостей: специалисты ожидают, что в ближайшее время будет выпущено гораздо больше исправлений.
Во-вторых, исследователи, вероятно, недооценивают количество исправлений, поскольку некоторые уязвимости устраняются без публичного уведомления: в таких случаях Anthropic и партнёрам приходится самыми искать эти исправления, анализируя обновления при помощи Claude.
В-третьих, низкий объём исправлений отражает реальную проблему: даже при относительно медленных темпах раскрытия информации Mythos Preview усугубляет проблему перегруженности экосистемы безопасности.
В ответ на резкий рост использования ИИ для обнаружения уязвимостей Anthropic представила Claude Security — сканер кода, призванный помочь разработчикам выявлять проблемы безопасности в своих приложениях.
Порядка 50 компаний имеют доступ к Mythos Preview через инициативу Project Glasswing. В Anthropic опасаются, что более широкий доступ Mythos способен привести к злоупотреблениям этой моделью. Однако пользователи заметили упоминания Mythos в публичных версиях Claude Code и Claude Security.
За месяц после запуска Project Glasswing в рамках инициативы выявили более 10 тыс. уязвимостей высокой и критической степени серьёзности в наиболее системно значимом программном обеспечении по всему миру. Mozilla отчиталась об обнаружении 271 уязвимости в Firefox. Mythos помогла Palo Alto Networks выявить десятки изъянов.
Anthropic также сослалась на тесты, проведённые компанией XBOW, специализирующейся на автономной наступательной безопасности — испытания показали, что Mythos эффективен для обнаружения уязвимостей.
Google получила доступ к Mythos, но неясно, связано ли недавнее увеличение числа обнаруженных уязвимостей в Chrome с моделью Anthropic, собственными ИИ-инструментами поискового гиганта или с обоими факторами.
Разработчик Claude указывает, что ему ещё предстоит разработать достаточно надёжные меры защиты для предотвращения неправомерного использования Mythos. Anthropic планирует привлечь больше партнёров к Project Glasswing.
ссылка на оригинал статьи https://habr.com/ru/articles/1040108/