Cloudflare ha confermato lunedì che il modello Mythos Preview di Anthropic non ancora rilasciato ha concatenato bug in exploit funzionanti in più di 50 dei suoi repository.
Risultati di Cloudflare Project Glasswing
La rivelazione è arrivata in un post sul blog del Chief Security Officer di Cloudflare, Grant Bourzikas, che ha dichiarato che il suo team ha puntato Mythos Preview verso codice di produzione che copre il runtime, il percorso dati edge e lo stack di protocolli. Cloudflare si è unita a Project Glasswing, il programma su invito di Anthropic per partner di sicurezza difensiva. Bourzikas ha definito il modello «un vero passo avanti», citando due capacità che i concorrenti non avevano.
Mythos ha concatenato diversi piccoli primitivi di attacco in proof of concept funzionanti. Il modello ha anche compilato ed eseguito codice di exploit in un ambiente isolato, quindi ha rivisto le sue ipotesi quando un’esecuzione falliva.
Il post ha inoltre evidenziato rifiuti non coerenti da parte del modello in anteprima.
In un caso, Mythos si è rifiutato di scrivere un exploit dimostrativo dopo aver confermato diversi bug di memoria in una base di codice, per poi acconsentire quando lo stesso compito è stato formulato in modo diverso in una sessione separata.
Da leggere anche: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Harness multi‑agente batte gli scanner singoli
Cloudflare ha affermato che puntare un singolo agente di coding generico su un repository non funzionava per la ricerca di vulnerabilità. Bourzikas ha invece costruito un harness multi‑fase che esegue circa 50 agenti paralleli su compiti ristretti. La pipeline esegue ricognizione, hunting, validazione avversariale, deduplicazione e tracciamento della raggiungibilità.
Un agente indipendente cerca di confutare ogni risultato prima che entri nella coda di triage, riducendo i falsi positivi che affliggono il codice non sicuro dal punto di vista della memoria scritto in C e C++. Anthropic ha promesso 100 milioni di dollari in crediti di utilizzo modello e 4 milioni di dollari in donazioni a gruppi di sicurezza open‑source nell’ambito di Project Glasswing.
Mythos Preview non verrà rilasciato pubblicamente.
Smart contract crypto di fronte a un’ondata di exploit AI
Le scoperte di Cloudflare arrivano mentre le perdite on‑chain aumentano. Il bridge Verus‑Ethereum ha perso 11 milioni di dollari lunedì in un attacco cross‑chain, con i proventi convertiti in 5.402 Ether (ETH).
I ricercatori di Anthropic in precedenza hanno mostrato che agenti AI potevano sfruttare autonomamente contratti live in modo profittevole. In un test, i modelli hanno scansionato 2.849 contratti distribuiti e prodotto exploit per 3.694 dollari a fronte di 3.476 dollari di costo di calcolo.
CertiK ha avvertito il 15 maggio che i vecchi smart contract si trovano ora al centro di un’ondata di caccia guidata dall’AI. I protocolli DeFi hanno perso oltre 605 milioni di dollari in circa 20 giorni di aprile, incluso il drain da 293 milioni di dollari su KelpDAO del 19 aprile. L’ingegneria sociale ha causato altre perdite per 306 milioni di dollari nel primo trimestre.
Da leggere dopo: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul