Cloudflare bevestigde maandag dat Anthropic's niet-uitgebrachte Mythos Preview-model bugs aan elkaar reeg tot werkende exploits in meer dan 50 van zijn repositories.
Cloudflare Project Glasswing-bevindingen
De onthulling kwam in een blogpost van Cloudflare Chief Security Officer Grant Bourzikas, die zei dat zijn team Mythos Preview inzette op productiecode die de runtime, edge-datapad en protocolstack bestreek. Cloudflare sloot zich aan bij Project Glasswing, Anthropic's invite-only programma voor defensieve beveiligingspartners. Bourzikas noemde het model „een echte stap vooruit” en wees op twee mogelijkheden die concurrenten misten.
Mythos koppelde verschillende kleine aanvalprimitieven tot werkende proof-of-concepts. Het model compileerde en draaide ook exploitcode in een geïsoleerde testomgeving en paste vervolgens zijn hypothese aan wanneer een run mislukte.
De post wees ook op inconsistente weigeringen van het previewmodel.
In één geval weigerde Mythos een demonstratie-exploit te schrijven nadat het verschillende geheugenbugs in een codebase had bevestigd, om vervolgens toch mee te werken toen dezelfde taak anders werd geformuleerd in een aparte sessie.
Ook lezen: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Multi-agent-harnas verslaat solo-scanners
Volgens Cloudflare werkte het niet om één generieke code-agent op een repository te richten voor kwetsbaarheidsonderzoek. Bourzikas bouwde in plaats daarvan een meerstaps-harnas dat ongeveer 50 parallelle agents op smalle taken draaide. De pijplijn voert verkenning, hunting, adversariële validatie, deduplicatie en reachability-tracing uit.
Een onafhankelijke agent probeert elke bevinding te weerleggen voordat die in de triage-queue komt, waardoor false positives worden teruggedrongen die geheugen-onveilige code in C en C++ teisteren. Anthropic heeft zich onder Project Glasswing gecommitteerd tot $100 miljoen aan modelcredits en $4 miljoen aan donaties aan open-sourcebeveiligingsgroepen.
Mythos Preview zal niet publiek worden uitgebracht.
Crypto smart contracts geconfronteerd met AI-exploitgolf
De Cloudflare-bevindingen komen terwijl on-chain-verliezen oplopen. De Verus-Ethereum-brug verloor $11 miljoen maandag in een cross-chain-aanval, waarbij de opbrengst werd omgewisseld in 5.402 Ether (ETH).
Onderzoekers van Anthropic toonden eerder aan dat AI-agents autonoom live contracts met winst konden uitbuiten. In één test scanden modellen 2.849 gedeployde contracts en produceerden exploits ter waarde van $3.694 voor $3.476 aan rekenkosten.
CertiK waarschuwde op 15 mei dat legacy smart contracts nu centraal staan in een door AI aangedreven jachtgolf. DeFi-protocollen verloren meer dan $605 miljoen in ongeveer 20 dagen in april, inclusief de $293 miljoen KelpDAO-leegtrekking op 19 april. Social engineering zorgde in het eerste kwartaal voor nog eens $306 miljoen verlies.
Lees hierna: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul