Cloudflare potwierdziło w poniedziałek, że Anthropic's unreleased Mythos Preview połączył błędy w działające exploity w ponad 50 swoich repozytoriach.
Ustalenia projektu Cloudflare Project Glasswing
Ujawnienie nastąpiło w wpisie na blogu opublikowanym przez dyrektora ds. bezpieczeństwa Cloudflare, Granta Bourzikasa, który powiedział, że jego zespół pointed Mythos Preview na kod produkcyjny obejmujący runtime, edge data path i stos protokołów. Cloudflare dołączyło do Project Glasswing, programu Anthropic tylko na zaproszenie dla partnerów zajmujących się bezpieczeństwem defensywnym. Bourzikas nazwał model „prawdziwym krokiem naprzód”, wskazując na dwie możliwości, których brakowało konkurentom.
Mythos połączył kilka małych prymitywów ataku w działające proof-of-concept. Model również kompilował i uruchamiał kod exploita w środowisku testowym, a następnie revised swoją hipotezę, gdy uruchomienie się nie powiodło.
W wpisie zwrócono również uwagę na niespójne odmowy ze strony modelu w wersji preview.
W jednym przypadku Mythos odmówił napisania demonstracyjnego exploita po potwierdzeniu kilku błędów pamięci w bazie kodu, po czym zgodził się na to samo zadanie, gdy zostało inaczej sformułowane w osobnej sesji.
Also Read: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Wieloagentowy harness lepszy niż pojedyncze skanery
Cloudflare stwierdziło, że skierowanie jednego ogólnego agenta programistycznego na repozytorium nie sprawdza się w badaniu podatności. Bourzikas zamiast tego zbudował wieloetapowy harness uruchamiający około 50 równoległych agentów do wąsko zdefiniowanych zadań. Potok wykonuje rozpoznanie, wyszukiwanie, walidację adversarialną, deduplikację i śledzenie osiągalności.
Niezależny agent próbuje obalić każde znalezisko, zanim trafi ono do kolejki triage, ograniczając liczbę fałszywych trafień, które nękają niebezpieczny pamięciowo kod napisany w C i C++. Anthropic committed 100 milionów dolarów w kredytach na modele i 4 miliony dolarów w darowiznach dla grup zajmujących się bezpieczeństwem open source w ramach Project Glasswing.
Mythos Preview nie zostanie publicznie udostępniony.
Inteligentne kontrakty krypto stoją w obliczu fali exploitów AI
Ustalenia Cloudflare pojawiają się w momencie narastania strat on-chain. Verus-Ethereum bridge lost $11 million w poniedziałkowym ataku cross-chain, z którego środki zostały zamienione na 5 402 Ether (ETH).
Badacze Anthropic wcześniej showed, że agenci AI mogą autonomicznie eksploatować działające kontrakty z zyskiem. W jednym z testów modele przeskanowały 2 849 wdrożonych kontraktów i wygenerowały exploity warte 3 694 dolary przy 3 476 dolarach kosztów obliczeń.
CertiK warned 15 maja, że przestarzałe smart kontrakty znajdują się obecnie w centrum fali polowań napędzanej przez AI. Protokoły DeFi straciły ponad 605 milionów dolarów w ciągu około 20 dni kwietnia, w tym $293 million KelpDAO drain z 19 kwietnia. Inżynieria społeczna zabrała kolejne 306 milionów dolarów w pierwszym kwartale.
Read Next: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul