Cloudflare, pazartesi günü Anthropic'in yayımlanmamış Mythos Preview modelinin 50'den fazla deposunda hataları zincirleyerek çalışan exploit'ler ürettiğini doğruladı.
Cloudflare Project Glasswing Bulguları
Açıklama, Cloudflare Güvenlik Direktörü (CSO) Grant Bourzikas'ın bir blog yazısında geldi. Bourzikas, ekibinin Mythos Preview modelini çalışma zamanı, edge veri yolu ve protokol yığınına yayılan üretim koduna yönlendirdiğini söyledi. Cloudflare, Anthropic'in yalnızca davetle katılım sağlanan savunma güvenliği ortakları programı Project Glasswing'e katıldı. Bourzikas, rakiplerde bulunmayan iki yeteneği gerekçe göstererek modeli “gerçek bir ilerleme” olarak nitelendirdi.
Mythos, birkaç küçük saldırı ilkelini çalışan kavram kanıtı (PoC) exploit zincirlerine dönüştürdü. Model ayrıca geçici bir ortamda exploit kodunu derleyip çalıştırdı ve bir çalıştırma başarısız olduğunda hipotezini revize etti.
Yazı, ön izleme modelinin tutarsız reddetmelerine de dikkat çekti.
Bir vakada Mythos, bir kod tabanında birkaç bellek hatasını doğruladıktan sonra gösterim amaçlı bir exploit yazmayı reddetti; ancak aynı görev farklı çerçevede ayrı bir oturumda istendiğinde bu kez uydu.
Ayrıca Oku: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Çoklu Aracılı Düzenek, Tek Tarayıcıları Geride Bıraktı
Cloudflare, tek bir genel amaçlı kodlama aracını bir depoya yönlendirmenin zafiyet araştırması için işe yaramadığını belirtti. Bunun yerine Bourzikas, dar kapsamlı görevlerde yaklaşık 50 paralel ajan çalıştıran çok aşamalı bir düzenek kurdu. Boru hattı keşif, avcılık, saldırgan doğrulama, tekilleştirme ve erişilebilirlik izlemeyi yürütüyor.
Bağımsız bir ajan, triyaj kuyruğuna girmeden önce her bulguyu çürütmeye çalışarak C ve C++ ile yazılmış, bellek güvenliği olmayan kodlarda sık görülen yanlış pozitifleri azaltıyor. Anthropic, Project Glasswing kapsamında 100 milyon dolar değerinde model kredisi ve 4 milyon dolar bağışı açık kaynak güvenlik gruplarına taahhüt etti.
Mythos Preview kamuya açık olarak yayımlanmayacak.
Kripto Akıllı Sözleşmeleri, Yapay Zekâ Exploit Dalgasıyla Karşı Karşıya
Cloudflare bulguları, zincir üstü kayıpların artmasıyla aynı döneme denk geldi. Verus-Ethereum köprüsü, pazartesi günü bir zincirler arası saldırıda 11 milyon dolar kaybetti ve gelir 5.402 Ether (ETH)'e dönüştürüldü.
Anthropic araştırmacıları daha önce, yapay zekâ ajanlarının canlı sözleşmeleri otonom biçimde ve kâr ederek istismar edebildiğini göstermişti. Bir testte modeller, dağıtılmış 2.849 sözleşmeyi taradı ve 3.476 dolarlık hesaplama maliyetine karşılık 3.694 dolar değerinde exploit üretti.
CertiK, 15 Mayıs'ta, eski (legacy) akıllı sözleşmelerin artık yapay zekâ güdümlü bir av dalgasının merkezinde yer aldığını uyardı. DeFi protokolleri, Nisan ayında yaklaşık 20 gün içinde 605 milyon dolardan fazla kaybetti; buna 19 Nisan'daki $293 milyonluk KelpDAO boşaltılması da dahil. İlk çeyrekte sosyal mühendislik saldırılarıyla ayrıca 306 milyon dolar daha buharlaştı.
Sıradaki Haber: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul