Zaawansowane narzędzia sztucznej inteligencji firmy Anthropic do wyszukiwania luk w oprogramowaniu przyciągnęły znaczną uwagę mediów. W marcu badacze Mozilli poinformowali, że Claude Opus 4.6 firmy Anthropic zidentyfikował 14 błędów o dużej ważności i 22 CVE w ciągu dwóch tygodni, co przekroczyło wyniki badaczy pracujących na ludziach w Mozilli.
Korzystając z wersji próbnej modelu Mythos firmy Anthropic, badacze bezpieczeństwa z Kalifornii, firmy zajmującej się cyberbezpieczeństwem z siedzibą w Palo Alto, twierdzili, że ominęli zabezpieczenia systemu macOS firmy Apple. Stwierdzili, że „exploit polegający na eskalacji uprawnień” w połączeniu z innym wektorem ataku może umożliwić złośliwym podmiotom przejęcie kontroli nad urządzeniem docelowym.
Badacze wyjaśnili, że opracowali oprogramowanie łączące dwa oddzielne błędy i zastosowali różne techniki mające na celu „uszkodzenie pamięci komputera Mac” w celu uzyskania dostępu do zastrzeżonych komponentów. Odkrycie exploita zajęło pięć dni i wymagało wspólnego wysiłku ze strony hakerów i modelu Mythos.
Apple przegląda obecnie raport badaczy, aby zweryfikować swoje ustalenia. „Bezpieczeństwo jest naszym najwyższym priorytetem i bardzo poważnie podchodzimy do zgłoszeń o potencjalnych lukach w zabezpieczeniach” – powiedział The Wall Street Journal rzecznik Apple.
W kwietniu firma Anthropic uruchomiła Mythos, początkowo znaną jako Project Glasswing, z dostępem ograniczonym do około 40 wybranych firm technologicznych. Firma poinformowała, że Mythos zidentyfikował tysiące luk o wysokiej wadze w różnych systemach operacyjnych i przeglądarkach internetowych, ostrzegając o poważnych konsekwencjach, jeśli takie funkcje wpadną w ręce złośliwych osób.
Michał Zalewski, badacz bezpieczeństwa Google, ocenił ustalenia z Kalifornii, choć bez bezpośredniego zaangażowania w badania. Zauważył, że choć szum wokół Mythos może być „przesadny”, nadal oferuje on potencjał do znaczących badań podatności na zagrożenia i audytu kodu.
W trakcie dyskusji na temat możliwości Mythosa pojawiły się obawy dotyczące potencjalnych zagrożeń związanych z modelem, jeśli zostanie on udostępniony publicznie. Gary McGraw, były dyrektor ds. cyberbezpieczeństwa w firmie Synopsys, włączył się do rozmowy, twierdząc, że technologia ta nie jest z natury zbyt niebezpieczna, aby ją wypuścić. Podkreślił konieczność stawienia czoła rzeczywistym wyzwaniom związanym z cyberbezpieczeństwem, a nie ograniczania dostępu do przydatnych narzędzi.
