Cloudflare a confirmé lundi que le modèle Mythos Preview inédit d’Anthropic avait enchaîné des bugs en exploits fonctionnels sur plus de 50 de ses dépôts.
Conclusions de Cloudflare Project Glasswing
La révélation est venue d’un billet de blog du Chief Security Officer de Cloudflare, Grant Bourzikas, qui explique que son équipe a dirigé Mythos Preview sur du code de production couvrant le runtime, le chemin de données edge et la pile de protocoles. Cloudflare a rejoint Project Glasswing, le programme sur invitation uniquement d’Anthropic pour les partenaires en sécurité défensive. Bourzikas a qualifié le modèle de « véritable progrès », citant deux capacités que les concurrents n’avaient pas.
Mythos a enchaîné plusieurs petits primitives d’attaque en preuves de concept fonctionnelles. Le modèle a également compilé et exécuté du code d’exploit dans un environnement isolé, puis a révisé son hypothèse lorsqu’une exécution échouait.
Le billet a également signalé des refus incohérents de la part du modèle de préversion.
Dans un cas, Mythos a refusé d’écrire un exploit de démonstration après avoir confirmé plusieurs bugs mémoire dans une base de code, puis a obéi lorsque la même tâche a été formulée différemment dans une autre session.
À lire aussi : Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Un harnais multi-agents dépasse les scanners uniques
Cloudflare indique que diriger un agent de codage générique unique vers un dépôt ne fonctionne pas pour la recherche de vulnérabilités. Bourzikas a plutôt construit un harnais en plusieurs étapes faisant tourner environ 50 agents parallèles sur des tâches ciblées. Le pipeline exécute la reconnaissance, la chasse, la validation adversariale, la déduplication et la traçabilité de la portée.
Un agent indépendant tente de réfuter chaque résultat avant son entrée dans la file de triage, ce qui réduit les faux positifs qui affectent le code non sécurisé en mémoire écrit en C et C++. Anthropic a promis 100 millions de dollars en crédits de modèles et 4 millions de dollars de dons à des groupes de sécurité open source dans le cadre de Project Glasswing.
Mythos Preview ne sera pas publié au grand public.
Les smart contracts crypto face à une vague d’exploits IA
Les conclusions de Cloudflare arrivent alors que les pertes on-chain augmentent. Le pont Verus-Ethereum a perdu 11 millions de dollars lundi lors d’une attaque cross-chain, les fonds ayant été échangés contre 5 402 Ether (ETH).
Les chercheurs d’Anthropic ont auparavant montré que des agents IA pouvaient exploiter de manière autonome des contrats en production de manière rentable. Dans un test, des modèles ont scanné 2 849 contrats déployés et produit des exploits d’une valeur de 3 694 $ pour 3 476 $ de calcul.
CertiK a averti le 15 mai que les smart contracts hérités se trouvent désormais au centre d’une vague de chasse pilotée par l’IA. Les protocoles DeFi ont perdu plus de 605 millions de dollars en environ 20 jours en avril, dont les 293 millions de dollars siphonnés de KelpDAO](https://yellow.com/research/lazarus-kelp-hack-north-korea-crypto-heists) le 19 avril. L’ingénierie sociale a coûté 306 millions de dollars supplémentaires au cours du premier trimestre.
À lire ensuite : Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul