Cloudflare bestätigte am Montag, dass Anthropic's unveröffentlichtes Mythos Preview-Modell Bugs zu funktionierenden Exploits über mehr als 50 seiner Repositories verkettete.
Ergebnisse von Cloudflare Project Glasswing
Die Veröffentlichung erfolgte in einem Blogpost von Cloudflare-Chief-Security-Officer Grant Bourzikas, der sagte, sein Team habe Mythos Preview auf Produktivcode ausgerichtet, der sich über Runtime, Edge-Datenpfad und Protokoll-Stack erstreckt. Cloudflare schloss sich Project Glasswing an, Anthropic's nur auf Einladung basierendem Programm für defensive Sicherheitspartner. Bourzikas nannte das Modell „einen echten Fortschritt“ und verwies auf zwei Fähigkeiten, die Wettbewerbern fehlten.
Mythos verkettete mehrere kleine Angriffsprimitiven zu funktionierenden Proofs of Concept. Das Modell kompilierte und führte Exploit-Code in einer Scratch-Umgebung aus und überarbeitete dann seine Hypothese, wenn ein Lauf scheiterte.
Der Beitrag wies auch auf inkonsistente Weigerungen des Preview-Modells hin.
In einem Fall lehnte Mythos es ab, einen Demonstrations-Exploit zu schreiben, nachdem es mehrere Speicherfehler in einer Codebasis bestätigt hatte, und kam derselben Aufgabe dann nach, als sie in einer separaten Sitzung anders formuliert wurde.
Auch lesen: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Multi-Agent-Harness schlägt Solo-Scanner
Cloudflare erklärte, dass das Ausrichten eines generischen Coding-Agents auf ein Repository für die Schwachstellenforschung nicht funktionierte. Bourzikas baute stattdessen ein mehrstufiges Harness, das rund 50 parallele Agenten auf eng umrissenen Aufgaben ausführt. Die Pipeline führt Aufklärung, Hunting, adversarielle Validierung, Deduplizierung und Reachability-Tracing durch.
Ein unabhängiger Agent versucht, jeden Fund zu widerlegen, bevor er in die Triage-Warteschlange gelangt, und reduziert so False Positives, die speicherunsicheren Code in C und C++ plagen. Anthropic hat sich im Rahmen von Project Glasswing zu 100 Millionen US‑Dollar an Modell-Credits und 4 Millionen US‑Dollar an Spenden für Open-Source-Sicherheitsgruppen verpflichtet.
Mythos Preview wird nicht öffentlich veröffentlicht werden.
Krypto-Smart-Contracts stehen vor einer KI-Exploit-Welle
Die Cloudflare-Ergebnisse kommen zu einem Zeitpunkt, an dem On-Chain-Verluste zunehmen. Die Verus-Ethereum-Bridge verlor am Montag 11 Millionen US‑Dollar in einem Cross-Chain-Angriff, dessen Erlöse in 5.402 Ether (ETH) getauscht wurden.
Anthropic-Forscher haben zuvor gezeigt, dass KI-Agenten eigenständig Live-Contracts gewinnbringend ausnutzen können. In einem Test scannten Modelle 2.849 deployte Contracts und erzeugten Exploits im Wert von 3.694 US‑Dollar bei 3.476 US‑Dollar an Rechenkosten.
CertiK warnte am 15. Mai, dass Legacy-Smart-Contracts nun im Zentrum einer KI-getriebenen Jagdwelle stehen. DeFi-Protokolle verloren in rund 20 Tagen im April mehr als 605 Millionen US‑Dollar, einschließlich des $293 Millionen KelpDAO-Abflusses am 19. April. Social Engineering verursachte weitere 306 Millionen US‑Dollar Verluste im ersten Quartal.
Weiterlesen: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul