Новая модель ИИ от Anthropic обнаружила тысячи уязвимостей в операционных системах и браузерах
Компания Anthropic представила новую модель ИИ общего назначения Claude Mythos и сразу же продемонстрировала её возможности весьма впечатляющим образом. По заявлению компании, модель использовалась для обнаружения "тысяч уязвимостей высокой степени серьёзности, включая уязвимости в каждой крупной операционной системе и веб-браузере". И что особенно тревожно – 99% из найденных уязвимостей до сих пор не закрыты патчами.
Параллельно с запуском Claude Mythos компания анонсировала инициативу Project Glasswing, объединяющую Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks в совместных усилиях по защите наиболее критически важного программного обеспечения в мире. Столь масштабная коалиция технологических гигантов стала прямым следствием того количества уязвимостей, которое обнаружила модель.
В подробном блоге Anthropic отмечает, что сами по себе уязвимости представляют лишь потенциальную угрозу – кому-то ещё нужно понять, как их эксплуатировать, а затем успешно использовать на практике. Однако расслабляться рано.
Мы видели, как превью-версия Mythos за считанные часы писала эксплойты, на разработку которых, по словам экспертов по тестированию на проникновение, у них ушли бы недели.
Один из наглядных примеров связан со старой уязвимостью в FFmpeg.
Исходная ошибка восходит к коммиту 2003 года, в котором был добавлен кодек H.264. Затем, в 2010 году, эта ошибка превратилась в уязвимость после рефакторинга кода. С тех пор эту слабость пропустил каждый фаззер и каждый человек, проверявший код, что указывает на качественное отличие, которое обеспечивают продвинутые языковые модели.
Помимо этой уязвимости, превью-версия Mythos обнаружила ряд других важных проблем в FFmpeg после нескольких сотен проходов по репозиторию, включая дополнительные ошибки в кодеках H.264, H.265 и AV1.
Стоит учитывать, что подобный анализ сопряжён с ощутимыми финансовыми затратами – серверы ИИ работают не бесплатно, а репозитории кода необходимо сканировать многократно.
За тысячу проходов через наш фреймворк общая стоимость составила менее 20 000 долларов, и было найдено ещё несколько десятков уязвимостей. Хотя конкретный проход, обнаруживший упомянутую ошибку, стоил менее 50 долларов, эта цифра имеет смысл только ретроспективно. Как и в любом процессе поиска, мы не можем заранее знать, какой именно проход окажется успешным.
Положительный момент заключается в том, что Anthropic уже отправила патчи разработчикам FFmpeg, хотя неясно, использовался ли ИИ для генерации самих исправлений.
Несмотря на кажущуюся тревожность ситуации, в которой модель ИИ нашла тысячи уязвимостей в программном обеспечении, которым пользуются миллионы людей ежедневно, сам факт их обнаружения может стать переломным моментом в борьбе с хакерами и киберпреступностью.
Claude Mythos находит эксплуатируемые ошибки, которые люди пропустили, и если модель способна выявлять новые уязвимости быстрее любого человека, это даёт реальный шанс оставаться на шаг впереди злоумышленников.
- Пользователь случайно получил доступ к внутреннему документу, который формирует поведение Claude
- Anthropic выпустила Claude Opus 4.5 с улучшенной работой в Microsoft Excel и новыми функциями
- Microsoft и NVIDIA вложат до $15 млрд в Anthropic на фоне растущих опасений ИИ-пузыря
Об авторе
