Cloudflare в понедельник подтвердила, что Anthropic's unreleased Mythos Preview смог связать баги в рабочие эксплойты более чем в 50 её репозиториях.
Результаты проекта Cloudflare Project Glasswing
Раскрытие появилось в блоге директора по безопасности Cloudflare Гранта Бурзикаса (Grant Bourzikas), который сообщил, что его команда pointed Mythos Preview на продакшн-код, охватывающий рантайм, edge-датапас и протокольный стек. Cloudflare присоединилась к Project Glasswing — закрытой программе Anthropic для партнёров по оборонительной безопасности. Бурзикас назвал модель «реальным шагом вперёд», отметив две способности, которых не хватало конкурентам.
Mythos связал несколько небольших атакующих примитивов в рабочие proof-of-concept‑эксплойты. Модель также компилировала и запускала эксплойт-код в изолированной среде, а затем revised свою гипотезу, если прогон завершался неудачей.
В посте также отметили непоследовательные отказы предварительной модели.
В одном случае Mythos отказался написать демонстрационный эксплойт после подтверждения нескольких ошибок работы с памятью в кодовой базе, но согласился выполнить ту же задачу, когда она была сформулирована иначе в отдельной сессии.
Также читайте: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Мног агентная обвязка лучше одиночных сканеров
По словам Cloudflare, направление одного универсального кодового агента на репозиторий оказалось неэффективным для поиска уязвимостей. Вместо этого Бурзикас построил многостадийную обвязку, запускающую около 50 параллельных агентов на узких задачах. Конвейер выполняет разведку, охоту за багами, враждебную валидацию, дедупликацию и трассировку достижимости.
Независимый агент пытается опровергнуть каждую находку до того, как она попадёт в очередь триажа, сокращая число ложноположительных срабатываний, которыми славится небезопасный с точки зрения памяти код на C и C++. Anthropic committed $100 млн в виде кредитов на использование моделей и $4 млн пожертвований открытым группам по безопасности в рамках Project Glasswing.
Mythos Preview не будет выпущен публично.
Смарт-контракты в криптоиндустрии сталкиваются с волной ИИ‑эксплойтов
Результаты Cloudflare появились на фоне роста ончейн‑потерь. Verus-Ethereum bridge lost $11 million в понедельник в результате кроссчейн‑атаки; вырученные средства были конвертированы в 5 402 Ether (ETH).
Исследователи Anthropic ранее showed, что ИИ‑агенты могут автономно эксплуатировать живые контракты с прибылью. В одном тесте модели просканировали 2 849 задеплоенных контрактов и создали эксплойты на $3 694 при затратах на вычисления $3 476.
CertiK warned 15 мая, что легаси‑смарт‑контракты теперь находятся в центре ИИ‑охоты. Протоколы DeFi потеряли более $605 млн примерно за 20 дней апреля, включая $293 million KelpDAO drain 19 апреля. Социальная инженерия унесла ещё $306 млн в первом квартале.
Читайте далее: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul