Cloudflare ha confermato lunedì che il modello Mythos Preview di Anthropic non ancora rilasciato ha concatenato bug in exploit funzionanti in oltre 50 dei suoi repository.
Risultati di Cloudflare Project Glasswing
La rivelazione è arrivata in un post sul blog del Chief Security Officer di Cloudflare, Grant Bourzikas, che ha spiegato che il suo team ha indirizzato Mythos Preview verso codice di produzione che copre il runtime, il percorso dati edge e lo stack di protocollo. Cloudflare ha aderito a Project Glasswing, il programma su invito di Anthropic per partner di sicurezza difensiva. Bourzikas ha definito il modello «un vero passo avanti», citando due capacità assenti nei concorrenti.
Mythos ha concatenato diversi piccoli primitivi di attacco in proof of concept funzionanti. Il modello ha inoltre compilato ed eseguito codice di exploit in un ambiente di test isolato, quindi ha rivisto le proprie ipotesi quando un'esecuzione falliva.
Il post ha anche evidenziato rifiuti incoerenti da parte del modello in anteprima.
In un caso, Mythos si è rifiutato di scrivere un exploit dimostrativo dopo aver confermato diversi bug di memoria in una base di codice, per poi acconsentire quando lo stesso compito è stato formulato in modo diverso in una sessione separata.
Da leggere anche: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Multi‑agent harness batte gli scanner singoli
Cloudflare ha affermato che puntare un generico agente di coding su un repository non funziona per la ricerca di vulnerabilità. Bourzikas ha invece costruito un harness multi‑fase che esegue circa 50 agenti paralleli su compiti ristretti. La pipeline esegue ricognizione, hunting, validazione avversaria, deduplicazione e tracciamento della raggiungibilità.
Un agente indipendente cerca di confutare ogni risultato prima che entri nella coda di triage, riducendo i falsi positivi che affliggono il codice non sicuro rispetto alla memoria scritto in C e C++. Anthropic ha promesso 100 milioni di dollari in crediti di modello e 4 milioni di dollari in donazioni a gruppi di sicurezza open‑source nell'ambito di Project Glasswing.
Mythos Preview non sarà rilasciato pubblicamente.
Gli smart contract crypto affrontano un'ondata di exploit IA
I risultati di Cloudflare arrivano mentre le perdite on‑chain aumentano. Il bridge Verus‑Ethereum ha perso 11 milioni di dollari lunedì in un attacco cross‑chain, con i proventi convertiti in 5.402 Ether (ETH).
In precedenza i ricercatori di Anthropic hanno dimostrato che agenti IA possono sfruttare autonomamente contratti live con profitto. In un test, i modelli hanno scandagliato 2.849 contratti distribuiti producendo exploit per 3.694 dollari a fronte di 3.476 dollari di costo computazionale.
CertiK ha avvertito il 15 maggio che i vecchi smart contract si trovano ora al centro di un'ondata di caccia guidata dall'IA. I protocolli DeFi hanno perso oltre 605 milioni di dollari in circa 20 giorni di aprile, inclusi i $293 milioni sottratti a KelpDAO il 19 aprile. Le tecniche di social engineering hanno causato altre perdite per 306 milioni di dollari nel primo trimestre.
Da leggere dopo: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul