Cloudflare ยืนยันเมื่อวันจันทร์ว่าโมเดล Mythos Preview ของ Anthropic ที่ยังไม่ปล่อย สามารถเชื่อมบั๊กให้กลายเป็นช่องโหว่ที่ใช้งานได้จริงในรีโปซิทอรีของบริษัทมากกว่า 50 แห่ง
ข้อค้นพบจาก Cloudflare Project Glasswing
การเปิดเผยมาจากบล็อกโพสต์ของประธานเจ้าหน้าที่ฝ่ายความปลอดภัยของ Cloudflare Grant Bourzikas ซึ่งระบุว่าทีมของเขาได้ ชี้นำ ให้ Mythos Preview วิเคราะห์โค้ดระดับโปรดักชันครอบคลุมทั้ง runtime เส้นทางข้อมูลที่ขอบเครือข่าย (edge data path) และ protocol stack โดย Cloudflare เข้าร่วม Project Glasswing ซึ่งเป็นโปรแกรมสำหรับพันธมิตรด้านความปลอดภัยเชิงรับของ Anthropic แบบเชิญเท่านั้น Bourzikas เรียกโมเดลนี้ว่า “ก้าวสำคัญไปข้างหน้า” พร้อมยกสองความสามารถที่คู่แข่งยังไม่มี
Mythos เชื่อม primitive การโจมตีขนาดเล็กหลายตัวให้กลายเป็น proof of concept ที่ใช้งานได้จริง โมเดลยังสามารถคอมไพล์และรันโค้ดโจมตีในสภาพแวดล้อมแยกทดสอบ (scratch environment) จากนั้น ปรับแก้ สมมติฐานของตัวเองเมื่อการรันล้มเหลว
โพสต์ยังชี้ถึงการปฏิเสธที่ไม่สม่ำเสมอของโมเดลเวอร์ชันพรีวิว
ในกรณีหนึ่ง Mythos ปฏิเสธที่จะเขียนเดโมโค้ดโจมตีหลังยืนยันแล้วว่ามีบั๊กเกี่ยวกับหน่วยความจำหลายจุดใน codebase แต่กลับยอมทำเมื่อสั่งงานแบบเดียวกันโดยใช้กรอบคำสั่งต่างกันในเซสชันใหม่
อ่านเพิ่มเติม: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
เฟรมเวิร์กหลายเอเยนต์ชนะสแกนเนอร์เดี่ยว
Cloudflare ระบุว่าการใช้เอเยนต์เขียนโค้ดทั่วไปตัวเดียวชี้ไปยังรีโปซิทอรีไม่เพียงพอสำหรับการวิจัยช่องโหว่ Bourzikas จึงสร้างเฟรมเวิร์กหลายสเตจที่รันเอเยนต์แบบขนานราว 50 ตัวสำหรับงานย่อยเฉพาะด้าน โดย pipeline นี้ครอบคลุมการลาดตระเวน (reconnaissance) การล่าช่องโหว่ การตรวจสอบเชิงปฏิปักษ์ (adversarial validation) การลบรายการซ้ำ และการติดตามเส้นทางการเข้าถึง (reachability tracing)
เอเยนต์อิสระแต่ละตัวจะพยายามหักล้างผลการค้นพบก่อนจะเข้าสู่คิวคัดกรอง (triage) ช่วยลด false positive ที่มักระบาดในโค้ดที่ไม่ปลอดภัยด้านหน่วยความจำซึ่งเขียนด้วย C และ C++ Anthropic ได้ ให้คำมั่น สนับสนุนเครดิตโมเดลมูลค่า 100 ล้านดอลลาร์ และบริจาคอีก 4 ล้านดอลลาร์แก่กลุ่มโอเพ่นซอร์สด้านความปลอดภัยภายใต้ Project Glasswing
Mythos Preview จะไม่ถูกปล่อยสู่สาธารณะ
สัญญาอัจฉริยะคริปโตเผชิญคลื่นโจมตีด้วย AI
ข้อค้นพบของ Cloudflare เกิดขึ้นในช่วงที่มูลค่าความสูญเสียบนเชนเพิ่มสูงขึ้น สะพานเชื่อม Verus-Ethereum สูญเสีย 11 ล้านดอลลาร์ เมื่อวันจันทร์จากการโจมตีข้ามเชน โดยผู้โจมตีแปลงเงินที่ได้เป็น Ether ((ETH)) จำนวน 5,402 เหรียญ
นักวิจัยของ Anthropic เคย แสดงให้เห็น มาก่อนว่าเอเยนต์ AI สามารถเจาะสัญญาที่กำลังใช้งานจริงเพื่อทำกำไรได้แบบอัตโนมัติ ในการทดสอบหนึ่ง โมเดลสแกนสัญญาที่ดีพลอยแล้ว 2,849 ฉบับ และสร้างช่องโหว่ที่ทำกำไรได้ 3,694 ดอลลาร์ จากต้นทุนคอมพิวต์ 3,476 ดอลลาร์
CertiK เตือน เมื่อวันที่ 15 พฤษภาคมว่าสัญญาอัจฉริยะรุ่นเก่าได้กลายเป็นศูนย์กลางของคลื่นการล่าด้วย AI โปรโตคอล DeFi สูญเงินมากกว่า 605 ล้านดอลลาร์ในช่วงราว 20 วันของเดือนเมษายน รวมถึงเหตุโจมตี $293 ล้านจาก KelpDAO เมื่อวันที่ 19 เมษายน ขณะที่วิศวกรรมสังคม (social engineering) ทำให้สูญเสียอีก 306 ล้านดอลลาร์ในไตรมาสแรก
อ่านต่อ: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul