Claude Mythos — ШІ від Anthropic, що знаходить критичні вразливості, приховані десятиліттями

7 квітня компанія Anthropic представила нову модель штучного інтелекту Claude Mythos Preview та водночас запустила Project Glasswing — масштабну ініціативу із захисту критично важливого програмного забезпечення.

Модель виявила тисячі вразливостей у критичному ПЗ за кілька тижнів

Claude Mythos Preview — модель загального призначення, яку не тренували спеціально шукати слабкі місця в коді. Ці можливості виникли як наслідок загальних покращень у програмуванні, логічному мисленні та автономності. Компанія вважає це переломним моментом: наступні покоління моделей — не лише від Anthropic — будуть ще потужнішими.

Рано чи пізно схожі інструменти можуть потрапити до зловмисників — і Anthropic вирішила діяти першою, спрямувавши Claude Mythos на захист. За даними компанії, вразливості знайшлися в усіх основних операційних системах і браузерах. Частина з них залишалася непоміченою десятиліттями. Серед найгучніших знахідок:

• В OpenBSD — операційній системі, відомій саме своєю захищеністю — Claude Mythos Preview знайшла помилку, яка була в коді 27 років. Вона дозволяла дистанційно вивести з ладу будь-який комп’ютер з цією ОС.
• У бібліотеці FFmpeg, на якій тримається обробка відео в більшості онлайн-сервісів, виявлено вразливість 16-річної давності. Автоматизовані інструменти безпеки проходили по проблемному коду п’ять мільйонів разів — і жоден не зафіксував баг.
• В ядрі Linux модель самостійно знайшла й поєднала кілька вразливостей у ланцюжок, який дозволяв піднятися від звичайного користувача до рівня адміністратора на тій самій машині.
• У FreeBSD з 2009 року ховався баг, через який будь-хто в інтернеті міг отримати root-доступ (повні права адміністратора) до сервера без автентифікації — тобто без жодного пароля чи логіна.

Усі згадані помилки вже виправлені. Решта знахідок проходять процедуру відповідального розкриття: Anthropic спочатку повідомляє про них розробників і дає час на виправлення, перш ніж оприлюднити деталі.

Project Glasswing: захист замість відкритого доступу

Якщо подібна модель потрапить до зловмисників, її можуть використати для масштабних кібератак. Тому компанія не планує відкривати Claude Mythos Preview для широкого доступу. Натомість вона запустила Project Glasswing — спільну ініціативу, мета якої захистити найважливіше ПЗ. До неї вже приєдналися AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, Linux Foundation та понад 40 інших організацій, серед яких — компанії, що працюють із критичною інфраструктурою. На підтримку проєкту Anthropic виділяє до 100 мільйонів доларів у вигляді кредитів на використання моделі та ще 4 мільйони — на безпеку відкритого ПЗ.

Перші публічні результати Project Glasswing обіцяють представити протягом 90 днів.