Cloudflare ยืนยันเมื่อวันจันทร์ว่า Mythos Preview ที่ยังไม่ปล่อยของ Anthropic สามารถเชื่อมช่องโหว่ให้กลายเป็นช่องโหว่โจมตีที่ใช้งานได้จริงในที่เก็บโค้ดของบริษัทมากกว่า 50 แห่ง
ผลการทดสอบจาก Cloudflare Project Glasswing
การเปิดเผยมาจากบล็อกโพสต์ของประธานเจ้าหน้าที่ความปลอดภัย (CSO) ของ Cloudflare Grant Bourzikas ซึ่งระบุว่าทีมของเขาได้ ชี้ ให้ Mythos Preview วิเคราะห์โค้ดที่ใช้งานจริง ครอบคลุมทั้ง runtime, เส้นทางข้อมูลที่ edge และ protocol stack Cloudflare เข้าร่วม Project Glasswing ซึ่งเป็นโครงการเชิญเฉพาะของ Anthropic สำหรับพันธมิตรด้านความปลอดภัยเชิงรับ Bourzikas เรียกโมเดลนี้ว่า “ก้าวกระโดดที่แท้จริง” โดยยกสองความสามารถที่คู่แข่งยังไม่มี
Mythos สามารถเชื่อม primitive การโจมตีเล็ก ๆ หลายชิ้นให้กลายเป็น proof of concept ที่ใช้งานได้จริง โมเดลยังสามารถคอมไพล์และรันโค้ดโจมตีในสภาพแวดล้อมทดสอบชั่วคราว แล้วจึง ปรับแก้ สมมติฐานเมื่อการรันล้มเหลว
โพสต์ยังชี้ให้เห็นการปฏิเสธที่ไม่สม่ำเสมอจากโมเดลรุ่นพรีวิว
ในกรณีหนึ่ง Mythos ปฏิเสธจะเขียนโค้ดโจมตีตัวอย่างแม้จะยืนยันแล้วว่ามีบั๊กหน่วยความจำหลายจุดใน codebase แต่กลับยอมทำงานเดียวกันเมื่อถูกสั่งในสำนวนที่ต่างออกไปในอีกเซสชันหนึ่ง
อ่านเพิ่มเติม: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
ระบบ multi-agent เหนือกว่าสแกนเนอร์ตัวเดียว
Cloudflare ระบุว่าการชี้ให้เอเจนต์เขียนโค้ดทั่วไปเพียงตัวเดียวสแกน repository ไม่ได้ผลสำหรับงานค้นหาช่องโหว่ Bourzikas จึงสร้างระบบหลายขั้นที่รันเอเจนต์เฉพาะทางประมาณ 50 ตัวคู่ขนานกันในงานย่อยแคบ ๆ โดย pipeline นี้ทำทั้งการลาดตระเวน (reconnaissance), ล่าช่องโหว่, ทดสอบเชิงปฏิปักษ์, ลบรายการซ้ำ และวิเคราะห์เส้นทางการเข้าถึง (reachability tracing)
เอเจนต์อิสระตัวหนึ่งจะพยายามหักล้างแต่ละการค้นพบก่อนเข้าสู่คิวคัดกรอง ช่วยลด false positive ที่มักระบาดในโค้ดที่ไม่ปลอดภัยด้านหน่วยความจำที่เขียนด้วย C และ C++ Anthropic ได้ ให้คำมั่น เครดิตโมเดลมูลค่า 100 ล้านดอลลาร์ และบริจาคอีก 4 ล้านดอลลาร์ให้กลุ่มโอเพ่นซอร์สด้านความปลอดภัยภายใต้ Project Glasswing
Mythos Preview จะไม่ถูกปล่อยให้ใช้งานสาธารณะ
สัญญาอัจฉริยะคริปโตเสี่ยงต่อคลื่นโจมตีด้วย AI
ผลการค้นพบของ Cloudflare เกิดขึ้นในช่วงที่ความสูญเสียบนเชนเพิ่มขึ้น Verus-Ethereum bridge สูญเงิน 11 ล้านดอลลาร์ เมื่อวันจันทร์จากการโจมตีข้ามเชน โดยผู้โจมตีแปลงทรัพย์สินเป็น Ether (ETH) 5,402 เหรียญ (ETH)
นักวิจัย Anthropic เคย แสดง มาก่อนว่าเอเจนต์ AI สามารถโจมตีสัญญาที่กำลังรันอยู่เพื่อทำกำไรได้แบบอัตโนมัติ ในการทดสอบหนึ่ง โมเดลสแกนสัญญาที่ดีพลอยแล้ว 2,849 ฉบับ และสร้างช่องโหว่โจมตีมูลค่า 3,694 ดอลลาร์ ด้วยต้นทุนคอมพิวต์ 3,476 ดอลลาร์
CertiK ได้ เตือน เมื่อวันที่ 15 พฤษภาคมว่าสัญญาอัจฉริยะรุ่นเก่ากลายเป็นศูนย์กลางของคลื่นการล่าด้วย AI โปรโตคอล DeFi สูญเสียมากกว่า 605 ล้านดอลลาร์ในช่วงประมาณ 20 วันของเดือนเมษายน รวมถึงการดูดทรัพย์ $293 ล้านจาก KelpDAO เมื่อวันที่ 19 เมษายน การโจมตีด้วย social engineering ยังทำให้สูญเงินอีก 306 ล้านดอลลาร์ในไตรมาสแรก
อ่านต่อ: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul