Cloudflare a confirmé lundi que le modèle Mythos Preview non publié d’Anthropic a enchaîné des bugs en exploits fonctionnels dans plus de 50 de ses dépôts.
Constatations de Cloudflare dans le cadre du projet Glasswing
La révélation est venue d’un billet de blog du Chief Security Officer de Cloudflare, Grant Bourzikas, qui a indiqué que son équipe avait dirigé Mythos Preview vers du code de production couvrant l’environnement d’exécution, le chemin de données à la périphérie et la pile de protocoles. Cloudflare a rejoint Project Glasswing, le programme sur invitation uniquement d’Anthropic pour les partenaires de sécurité défensive. Bourzikas a qualifié le modèle de « véritable progrès », en citant deux capacités que les concurrents n’avaient pas.
Mythos a enchaîné plusieurs petits primitives d’attaque en preuves de concept fonctionnelles. Le modèle a également compilé et exécuté le code d’exploit dans un environnement isolé, puis a révisé son hypothèse lorsqu’une exécution échouait.
Le billet a aussi signalé des refus incohérents de la part du modèle de préversion.
Dans un cas, Mythos a refusé d’écrire un exploit de démonstration après avoir confirmé plusieurs bugs de mémoire dans une base de code, puis a obéi lorsque la même tâche a été formulée différemment dans une session distincte.
À lire aussi : Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Un harnais multi-agents surpasse les scanners isolés
Cloudflare a indiqué que diriger un seul agent de programmation générique vers un dépôt ne fonctionnait pas pour la recherche de vulnérabilités. Bourzikas a plutôt construit un harnais en plusieurs étapes exécutant environ 50 agents parallèles sur des tâches ciblées. Le pipeline effectue de la reconnaissance, de la chasse, de la validation adversariale, de la déduplication et du traçage de la « reachability ».
Un agent indépendant tente de réfuter chaque découverte avant qu’elle n’entre dans la file de triage, réduisant les faux positifs qui prolifèrent dans le code non sécurisé en mémoire écrit en C et C++. Anthropic s’est engagée à fournir 100 millions de dollars en crédits de modèles et 4 millions de dollars de dons à des groupes de sécurité open source dans le cadre de Project Glasswing.
Mythos Preview ne sera pas publié au grand public.
Les smart contracts crypto face à une vague d’exploits par l’IA
Les conclusions de Cloudflare arrivent alors que les pertes on-chain s’accumulent. Le pont Verus-Ethereum a perdu 11 millions de dollars lundi lors d’une attaque cross-chain, les fonds ayant été échangés contre 5 402 Ether (ETH).
Les chercheurs d’Anthropic ont auparavant montré que des agents IA pouvaient exploiter de façon autonome des contrats en production de manière profitable. Dans un test, des modèles ont scanné 2 849 contrats déployés et produit des exploits d’une valeur de 3 694 dollars pour 3 476 dollars de calcul.
CertiK a averti le 15 mai que les smart contracts hérités se trouvent désormais au centre d’une vague de chasse pilotée par l’IA. Les protocoles DeFi ont perdu plus de 605 millions de dollars sur environ 20 jours en avril, y compris la fuite de 293 millions de dollars de KelpDAO le 19 avril. L’ingénierie sociale a coûté 306 millions de dollars supplémentaires au cours du premier trimestre.
À suivre : Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul