Anthropic spune că Mythos a găsit deja peste 10.000 de vulnerabilități

Anthropic a publicat un raport inițial despre Project Glasswing, programul său de securitate lansat în aprilie, iar cifrele arată că Claude Mythos Preview a trecut deja de pragul de 10.000 de vulnerabilități găsite împreună cu partenerii. La doar o lună de la debutul proiectului, compania spune că multe dintre descoperiri sunt de severitate ridicată sau critică, iar ritmul de identificare a vulnerabilităților a urcat de peste zece ori față de ce vedeau unele echipe înainte.

Centru de securitate cibernetică și analiză a vulnerabilităților cu ajutorul AI (imagine generată digital)

Câteva exemple explică de ce raportul a atras atât de mult atenția. Cloudflare spune că a găsit 2.000 de buguri cu ajutorul modelului, dintre care 400 sunt de severitate înaltă sau critică, iar echipa consideră că rata de fals pozitiv este mai bună decât la testerii umani. Mozilla a raportat la rândul ei 271 de vulnerabilități în Firefox 150 după testarea lui Mythos Preview, de peste zece ori mai multe decât în Firefox 148 cu Claude Opus 4.6. Anthropic mai notează că Microsoft a spus recent că noile sale serii de patch-uri vor rămâne mai mari o perioadă, iar Oracle repară vulnerabilități mai repede ca înainte.

În același raport, Anthropic spune că a folosit Mythos Preview și pe peste 1.000 de proiecte open-source, care stau la baza unei mari părți din internet și din propria infrastructură. Modelul a estimat 6.202 vulnerabilități de severitate ridicată sau critică dintr-un total de 23.019. Dintre cele 1.752 deja evaluate de firme independente de cercetare în securitate, 90,6% s-au dovedit reale, iar 62,4% au fost confirmate ca înalte sau critice. Dacă ritmul rămâne la fel, Anthropic spune că rezultatul final ar putea ajunge aproape de 3.900 de vulnerabilități de severitate ridicată sau critică doar în codul open-source.

Compania oferă și câteva exemple tehnice care explică de ce modelul a devenit interesant pentru cercetarea defensivă. În documentele sale, Anthropic spune că Mythos Preview a găsit vulnerabilități în toate sistemele de operare importante și în toate browserele importante, inclusiv un bug vechi de 27 de ani în OpenBSD, unul de 16 ani în FFmpeg și mai multe vulnerabilități din Linux care puteau duce la control total asupra dispozitivului. În analiza tehnică publicată pe Frontier Red Team, echipa arată că modelul nu se oprește doar la identificarea unui defect, ci poate construi și exploit-uri funcționale, adică pași de atac care dovedesc că problema chiar poate fi folosită.

Cloudflare descrie aceeași schimbare din alt unghi. În propria postare, compania spune că Mythos Preview lucrează bine mai ales când este folosit într-un cadru cu sarcini înguste, verificare separată și mai mulți pași de validare, nu ca un simplu agent de cod care scanează la grămadă un depozit de surse. Ei spun că modelul este bun la a lega mai multe indicii într-un singur lanț de exploatare și la a genera dovada practică, nu doar o suspiciune. Pentru echipele de securitate, diferența contează mult, fiindcă un bug raportat fără dovadă ajunge doar să mărească inutil coada de triere.

Anthropic nu a pus încă Mythos Preview la dispoziția publicului, spunând că nici propria echipă, nici alte companii nu au încă măsuri de protecție suficient de solide pentru a împiedica folosirea greșită a unui model de acest tip. Compania spune că vrea să lanseze în viitor modele din clasa Mythos, dar abia după ce aceste măsuri de protecție vor fi disponibile. Până atunci, planul este să extindă Project Glasswing alături de guvernul Statelor Unite și de alte guverne, iar pe listă se află deja Amazon Web Services, Apple, CrowdStrike, Google, JPMorganChase, NVIDIA și Palo Alto Networks, pe lângă alți parteneri. Anthropic a spus și că a pus la bătaie 100 de milioane de dolari în credite de utilizare pentru proiect și a făcut donații separate către organizații care lucrează cu software open-source.

Raportul are și un exemplu mai puțin spectaculos, dar foarte concret pentru companii: la una dintre băncile partenere, Mythos Preview a ajutat la oprirea unui transfer fraudulos de 1,5 milioane de dolari după ce un atacator a compromis e-mailul unui client și a folosit apeluri false pentru a încerca să convingă banca să trimită banii. Asta arată de ce Anthropic vorbește tot mai des despre apărare, nu doar despre viteză. Compania spune că software-ul reparat mai repede este important, dar că la fel de mult contează arhitectura din jurul aplicației și apărarea pe mai multe straturi, ca să fie mai greu de exploatat chiar și atunci când există o vulnerabilitate.

În paralel, Anthropic pare să se apropie și de un prag financiar important. Potrivit Reuters, compania le-a spus investitorilor că veniturile din trimestrul al doilea ar putea ajunge la 10,9 miliarde de dolari, de la 4,8 miliarde în trimestrul anterior, iar profitul operațional estimat este de 559 de milioane de dolari. Reuters mai spune că firma nu se așteaptă să rămână profitabilă tot anul, fiindcă va continua să cheltuie mai mult pe putere de calcul. Pentru o companie care se bazează tot mai mult pe produse folosite în securitate și dezvoltare software, ritmul acesta arată cât de repede a crescut cererea, dar și cât de scumpă rămâne cursa pentru modele tot mai capabile.

Crezi că modelele de tip Mythos ar trebui ținute doar în programe controlate, nu la liber? Sau ar fi mai util să ajungă rapid la mai mulți utilizatori, cu riscurile gestionate din mers?

Surse: Raportul inițial Project Glasswing de la Anthropic, Pagina oficială Project Glasswing, Analiza tehnică despre Claude Mythos Preview, Mozilla explică cele 271 de vulnerabilități din Firefox, Cloudflare despre ce a arătat Mythos,