Anthropic tvrdi da Claude Mythos pronalazi hiljade zero-day propusta
The Hacker News prenosi da je Anthropic pokrenuo Project Glasswing, inicijativu u kojoj će preview verzija modela Claude Mythos biti korišćena sa manjim brojem velikih partnera za otkrivanje i saniranje ranjivosti u kritičnom softveru. Prema navodima kompanije, model je već pronašao hiljade ozbiljnih zero-day propusta u glavnim operativnim sistemima i browserima, uključujući stare greške u OpenBSD-u i FFmpeg-u, kao i složene exploit chain scenarije. Tekst dodatno pominje da Anthropic model nije javno pustio upravo zbog ofanzivnih mogućnosti, kao i da su se paralelno pojavili i njihovi sopstveni bezbednosni propusti, uključujući curenje internih materijala i grešku u Claude Code alatu koja je zaobilazila deo bezbednosnih pravila.
Ovde nije važna samo tvrdnja da je model dobar u traženju bagova, već to što se granica između odbrane i ofanzive dodatno zamagljuje kada isti sistem ume i da pronađe i da eksploatiše propust. Za firme i proizvođače softvera neprijatan deo priče je u tome što se vreme za reakciju skraćuje, a istovremeno raste pritisak da i sami AI alati budu podvrgnuti ozbiljnoj bezbednosnoj proveri.
- Skratiti vreme između objave ranjivosti i primene zakrpa na kritičnim sistemima
- Pojačati interno testiranje koda i aplikacija dostupnim AI i klasičnim sigurnosnim alatima
- Ne posmatrati AI modele samo kao pomoć u razvoju, već i kao mogući izvor novih operativnih rizika
- Preispitati sandbox, egress kontrolu i pravila izvršavanja komandi u AI coding okruženjima
- Pratiti objave proizvođača AI alata o ispravkama i bezbednosnim propustima isto kao i za drugi kritični softver