Claude Mythos — ИИ от Anthropic, который находит критические уязвимости, скрытые десятилетиями

7 апреля компания Anthropic представила новую модель искусственного интеллекта Claude Mythos Preview и одновременно запустила Project Glasswing — масштабную инициативу по защите критически важного программного обеспечения.

Модель обнаружила тысячи уязвимостей в критическом ПО за несколько недель

Claude Mythos Preview — модель общего назначения, которую не тренировали специально искать слабые места в коде. Эти возможности возникли как следствие общих улучшений в программировании, логическом мышлении и автономности. Компания считает это переломным моментом: следующие поколения моделей — не только от Anthropic — будут еще мощнее.

Рано или поздно похожие инструменты могут попасть к злоумышленникам — и Anthropic решила действовать первой, направив Claude Mythos на защиту. По данным компании, уязвимости нашлись во всех основных операционных системах и браузерах. Часть из них оставалась незамеченной десятилетиями. Среди самых громких находок:

• В OpenBSD — операционной системе, известной именно своей защищенностью — Claude Mythos Preview нашла ошибку, которая была в коде 27 лет. Она позволяла удаленно вывести из строя любой компьютер с этой ОС.
• В библиотеке FFmpeg, на которой держится обработка видео в большинстве онлайн-сервисов, обнаружена уязвимость 16-летней давности. Автоматизированные инструменты безопасности проходили по проблемному коду пять миллионов раз — и ни один не зафиксировал баг.
• В ядре Linux модель самостоятельно нашла и объединила несколько уязвимостей в цепочку, которая позволяла подняться от обычного пользователя до уровня администратора на той же машине.
• В FreeBSD с 2009 года скрывался баг, из-за которого кто угодно в интернете мог получить root-доступ (полные права администратора) к серверу без аутентификации — то есть без какого-либо пароля или логина.

Все упомянутые ошибки уже исправлены. Остальные находки проходят процедуру ответственного раскрытия: Anthropic сначала сообщает о них разработчикам и дает время на исправление, прежде чем обнародовать детали.

Project Glasswing: защита вместо открытого доступа

Если подобная модель попадет к злоумышленникам, ее могут использовать для масштабных кибератак. Поэтому компания не планирует открывать Claude Mythos Preview для широкого доступа. Вместо этого она запустила Project Glasswing — совместную инициативу, цель которой защитить важнейшее ПО. К ней уже присоединились AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, Linux Foundation и более 40 других организаций, среди которых — компании, работающие с критической инфраструктурой. В поддержку проекта Anthropic выделяет до 100 миллионов долларов в виде кредитов на использование модели и еще 4 миллиона — на безопасность открытого ПО.

Первые публичные результаты Project Glasswing обещают представить в течение 90 дней.