Cloudflare bevestigde maandag dat Anthropic's niet-uitgebrachte Mythos Preview-model bugs aan elkaar koppelde tot werkende exploits in meer dan 50 van zijn repositories.
Bevindingen Cloudflare Project Glasswing
De onthulling kwam in een blogpost van Cloudflare Chief Security Officer Grant Bourzikas, die zei dat zijn team Mythos Preview richtte op productiecode die de runtime, edge-datapad en protocolstack besloeg. Cloudflare sloot zich aan bij Project Glasswing, Anthropic's invite-only programma voor defensieve beveiligingspartners. Bourzikas noemde het model "een echte stap vooruit" en wees op twee mogelijkheden die concurrenten misten.
Mythos koppelde verschillende kleine aanvalprimitieven tot werkende proof-of-concepts. Het model compileerde en draaide ook exploitcode in een geïsoleerde omgeving en paste zijn hypothese aan wanneer een run mislukte.
De post wees ook op inconsistente weigeringen van het preview-model.
In één geval weigerde Mythos een demonstratie‑exploit te schrijven nadat het meerdere geheugengerelateerde bugs in een codebase had bevestigd, maar werkte wel mee toen dezelfde taak in een andere sessie anders werd geformuleerd.
Ook lezen: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Multi-agent-harnas verslaat soloscanners
Volgens Cloudflare werkte het niet om één generieke codeagent op een repository te richten voor kwetsbaarheidsonderzoek. Bourzikas bouwde in plaats daarvan een meerfasig harnas dat ongeveer 50 parallelle agents op smalle taken uitvoerde. De pijplijn voert verkenning, hunting, adversariële validatie, deduplicatie en reachability-tracing uit.
Een onafhankelijke agent probeert elke bevinding te weerleggen voordat deze in de triage-queue komt, waardoor false positives worden teruggedrongen die veel voorkomen bij memory-unsafe code in C en C++. Anthropic heeft zich in het kader van Project Glasswing gecommitteerd tot $100 miljoen aan model‑credits en $4 miljoen aan donaties aan open‑source‑beveiligingsgroepen.
Mythos Preview zal niet publiek worden vrijgegeven.
Crypto‑smart contracts geconfronteerd met AI‑exploitgolf
De bevindingen van Cloudflare komen op een moment dat on‑chain verliezen oplopen. De Verus‑Ethereum‑brug verloor $11 miljoen maandag in een cross‑chain‑aanval, waarbij de opbrengst werd omgeruild naar 5.402 Ether (ETH).
Onderzoekers van Anthropic toonden eerder aan dat AI‑agents autonoom live contracts met winst konden uitbuiten. In één test scanden modellen 2.849 uitgerolde contracts en produceerden exploits ter waarde van $3.694 voor $3.476 aan compute.
CertiK waarschuwde op 15 mei dat legacy‑smart contracts nu centraal staan in een door AI aangestuurde jachtgolf. DeFi‑protocollen verloren meer dan $605 miljoen in ongeveer 20 dagen in april, waaronder de $293 miljoen KelpDAO‑leegloop op 19 april. Social engineering kostte in het eerste kwartaal nog eens $306 miljoen.
Lees hierna: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul