Cloudflare bestätigte am Montag, dass das unveröffentlichte Modell Mythos Preview von Anthropic Fehler zu funktionierenden Exploits in mehr als 50 seiner Repositories verkettete.
Ergebnisse von Cloudflare Project Glasswing
Die Offenlegung erfolgte in einem Blogpost von Cloudflare-Chief-Security-Officer Grant Bourzikas, der erklärte, sein Team habe Mythos Preview auf produktiven Code angesetzt, der die Runtime, den Edge-Datenpfad und den Protokoll-Stack umfasste. Cloudflare schloss sich Project Glasswing an, Anthropics nur auf Einladung verfügbarem Programm für defensive Sicherheitspartner. Bourzikas nannte das Modell „einen echten Fortschritt“ und verwies auf zwei Fähigkeiten, die Wettbewerbern fehlten.
Mythos verkettete mehrere kleine Angriffs-Primitive zu funktionierenden Proofs of Concept. Das Modell kompilierte und führte Exploit-Code in einer Scratch-Umgebung aus und überarbeitete anschließend seine Hypothese, wenn ein Lauf fehlschlug.
Der Beitrag hob außerdem inkonsistente Verweigerungen des Preview-Modells hervor.
In einem Fall lehnte Mythos es ab, einen Demonstrations-Exploit zu schreiben, nachdem es mehrere Speicherfehler in einer Codebasis bestätigt hatte, führte dieselbe Aufgabe jedoch aus, als sie in einer separaten Sitzung anders formuliert wurde.
Auch lesen: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Multi-Agent-Harness schlägt Solo-Scanner
Cloudflare erklärte, dass das einfache Ansetzen eines generischen Coding-Agents auf ein Repository für Schwachstellenforschung nicht funktionierte. Bourzikas baute stattdessen ein mehrstufiges Harness, das rund 50 parallele Agenten auf eng umrissene Aufgaben ansetzt. Die Pipeline führt Aufklärung, Hunting, adversarielle Validierung, Deduplizierung und Reachability-Tracing durch.
Ein unabhängiger Agent versucht, jeden Fund zu widerlegen, bevor er in die Triage-Warteschlange gelangt, und reduziert so False Positives, die speicherunsicheren Code in C und C++ plagen. Anthropic hat sich im Rahmen von Project Glasswing verpflichtet, 100 Millionen US-Dollar in Modell-Credits und 4 Millionen US-Dollar an Spenden an Open-Source-Sicherheitsgruppen zu vergeben.
Mythos Preview wird nicht öffentlich veröffentlicht.
Krypto-Smart-Contracts stehen vor AI-Exploit-Welle
Die Erkenntnisse von Cloudflare kommen zu einer Zeit, in der On-Chain-Verluste zunehmen. Am Montag verlor die Verus-Ethereum-Bridge 11 Millionen US-Dollar in einem Cross-Chain-Angriff, dessen Erlös in 5.402 Ether (ETH) getauscht wurde.
Forscher von Anthropic haben zuvor gezeigt, dass AI-Agenten eigenständig laufende Verträge mit Gewinn ausnutzen können. In einem Test scannten Modelle 2.849 deployte Verträge und erzeugten Exploits im Wert von 3.694 US-Dollar bei 3.476 US-Dollar an Rechenkosten.
CertiK warnte am 15. Mai, dass Legacy-Smart-Contracts inzwischen im Zentrum einer AI-getriebenen Jagdwelle stehen. DeFi-Protokolle verloren in rund 20 Tagen im April mehr als 605 Millionen US-Dollar, darunter der $293 Millionen-KelpDAO-Abzug am 19. April. Social Engineering verursachte weitere 306 Millionen US-Dollar Verluste im ersten Quartal.
Weiterlesen: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul