Mythos обнаружила 23 тысячи уязвимостей в 1 тысяче проектов с открытым исходным кодом

Модель искусственного интеллекта Claude Mythos обнаружила 23 тыс. уязвимостей в более чем 1 тыс. проектов с открытым исходным кодом, сообщила Anthropic. Из этого числа приблизительно 1,9 тыс. выявили сторонние компании в сфере кибербезопасности, более чем 1,7 тыс. были подтверждены, в том числе более 1 тыс. получили оценку высокой или критической степени серьёзности.

Эти результаты всё ещё находятся на стадии проверки. По оценкам Anthropic, на основании только текущих данных будет подтверждено приблизительно 3,9 тыс. критических и серьёзных уязвимостей. Поскольку сканирование продолжается, компания считает, что число серьёзных уязвимостей может вырасти до 6,2 тыс.

В Anthropic пояснили, что количество исправлений пока по сравнению с невелико по трём причинам. Во-первых, исследователи находятся в начале 90-дневного периода, установленного политикой скоординированного раскрытия уязвимостей: специалисты ожидают, что скоро будет выпущено гораздо больше исправлений.

Во-вторых, исследователи, вероятно, недооценивают количество исправлений, поскольку некоторые уязвимости устраняются без публичного уведомления: в таких случаях Anthropic и партнёрам приходится самыми искать эти исправления, анализируя обновления при помощи Claude.

В-третьих, низкий объём исправлений отражает реальную проблему: даже при относительно медленных темпах раскрытия информации Mythos Preview усугубляет проблему перегруженности экосистемы безопасности.

В ответ на резкий рост использования ИИ для обнаружения уязвимостей Anthropic представила Claude Security — сканер кода, призванный помочь разработчикам выявлять проблемы безопасности в своих приложениях.

Порядка 50 компаний имеют доступ к Mythos Preview через инициативу Project Glasswing. В Anthropic опасаются, что более широкий доступ Mythos способен привести к злоупотреблениям этой моделью. Однако пользователи заметили упоминания Mythos в публичных версиях Claude Code и Claude Security.

За месяц после запуска Project Glasswing в рамках инициативы выявили более 10 тыс. уязвимостей высокой и критической степени серьёзности в наиболее системно значимом программном обеспечении по всему миру. Mozilla отчиталась об обнаружении 271 уязвимости в Firefox. Mythos помогла Palo Alto Networks выявить десятки изъянов.

Anthropic также сослалась на тесты, проведённые компанией XBOW, специализирующейся на автономной наступательной безопасности — испытания показали, что Mythos эффективен для обнаружения уязвимостей.

Google получила доступ к Mythos, но неясно, связано ли недавнее рост числа обнаруженных уязвимостей в Chrome с моделью Anthropic, собственными ИИ-инструментами поискового гиганта или с обоими факторами.

Разработчик Claude указывает, что ему ещё предстоит разработать в достаточной степени надёжные меры защиты для предотвращения неправомерного использования Mythos. Anthropic планирует привлечь больше партнёров к Project Glasswing.