Cloudflare у понеділок підтвердила, що нерелізна модель Mythos Preview від Anthropic зчепила баги в робочі експлойти більш ніж у 50 її репозиторіях.
Висновки Cloudflare Project Glasswing
Розкриття з’явилося в дописі блогу від головного директора з безпеки Cloudflare Гранта Бурзікаса (Grant Bourzikas), який повідомив, що його команда спрямувала Mythos Preview на продакшн‑код, що охоплює runtime, edge‑шлях даних та протокольний стек. Cloudflare долучилася до Project Glasswing — закритої програми Anthropic для партнерів із оборонної безпеки. Бурзікас назвав модель «реальним кроком уперед», відзначивши дві можливості, яких не мали конкуренти.
Mythos з’єднав кілька невеликих атакувальних примітивів у робочі пруфи‑оф‑концепт. Модель також компілювала й запускала експлойт‑код у тестовому середовищі, а потім уточнювала свою гіпотезу, коли запуск завершувався невдачею.
У дописі також відзначили непослідовні відмови попередньої версії моделі.
В одному випадку Mythos відмовився написати демонстраційний експлойт після підтвердження кількох помилок роботи з пам’яттю в кодовій базі, а в іншій сесії виконав те саме завдання, сформульоване по‑іншому.
Also Read: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Мультиагентний «harness» ефективніший за поодинокі сканери
У Cloudflare заявили, що спрямування одного універсального кодового агента на репозиторій не спрацювало для пошуку вразливостей. Замість цього Бурзікас побудував багатостадійний «harness», що запускає близько 50 паралельних агентів на вузькі завдання. Конвеєр виконує розвідку, пошук, адвесаріальну валідацію, дедуплікацію та трейсинг досяжності.
Незалежний агент намагається спростувати кожну знахідку до того, як вона потрапить у чергу тріажу, зменшуючи кількість хибних спрацьовувань, що переслідують небезпечний щодо пам’яті код на C та C++. Anthropic зобов’язалася надати $100 млн у вигляді кредитів на моделі та $4 млн пожертв на користь спільнот з відкритим кодом у межах Project Glasswing.
Mythos Preview не буде публічно релізнута.
Смарт‑контракти в крипто під загрозою хвилі AI‑експлойтів
Висновки Cloudflare з’явилися на тлі зростання ончейн‑втрат. Міст Verus-Ethereum втратив $11 млн у понеділок внаслідок кросчейн‑атаки, після чого здобуті кошти були конвертовані в 5 402 Ether (ETH).
Дослідники Anthropic раніше показали, що AI‑агенти можуть автономно експлуатувати чинні смарт‑контракти з прибутком. В одному тесті моделі просканували 2 849 розгорнутих контрактів і згенерували експлойти на $3 694 за $3 476 витрат на обчислення.
CertiK попередила 15 травня, що застарілі смарт‑контракти нині опинилися в центрі хвилі полювання, керованої ШІ. Протоколи DeFi втратили понад $605 млн приблизно за 20 днів квітня, зокрема $293 млн витоку з KelpDAO 19 квітня. Соціальна інженерія забрала ще $306 млн за перший квартал.
Read Next: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul