Cloudflare у понеділок підтвердила, що нерелізнений Mythos Preview від Anthropic зумів зчепити баги у робочі експлойти більш ніж у 50 її репозиторіях.
Висновки Cloudflare Project Glasswing
Розкриття з’явилося в дописі блогу директора з безпеки Cloudflare Гранта Бурзікаса (Grant Bourzikas), який повідомив, що його команда спрямувала Mythos Preview на продакшн‑код, що охоплює рантайм, крайовий дата-потік та протокольний стек. Cloudflare приєдналася до Project Glasswing, закритої програми Anthropic для партнерів із оборонної безпеки. Бурзікас назвав модель «справжнім кроком уперед», відзначивши дві можливості, яких бракувало конкурентам.
Mythos зчепив кілька дрібних атак-примітивів у робочі прототипи експлойтів (proofs of concept). Модель також компілювала й запускала експлойт‑код у тестовому середовищі, а потім уточнювала свою гіпотезу, коли запуск завершувався невдало.
У дописі також було відзначено непослідовні відмови попередньої версії моделі.
В одному з випадків Mythos відмовився написати демонстраційний експлойт після підтвердження кількох помилок роботи з пам’яттю в кодовій базі, але погодився виконати те саме завдання, коли воно було інакше сформульоване в окремій сесії.
Також читайте: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
Багатоагентна обв’язка ефективніша за поодинокі сканери
У Cloudflare заявили, що запуск одного універсального кодового агента на репозиторії не спрацював для пошуку вразливостей. Замість цього Бурзікас створив багатостадійну обв’язку, яка запускає приблизно 50 паралельних агентів із вузькими завданнями. Конвеєр виконує рекогносцировку, пошук, ворожу (adversarial) валідацію, дедуплікацію та трасування досяжності.
Незалежний агент намагається спростувати кожну знахідку, перш ніж вона потрапляє до черги тріажу, що зменшує кількість хибних спрацювань, притаманних небезпечному з погляду пам’яті коду на C та C++. Anthropic зобов’язалася надати $100 млн у вигляді кредитів на моделі та $4 млн пожертв відкритим проєктам у сфері безпеки в межах Project Glasswing.
Mythos Preview не буде випущено у відкритий доступ.
Смарт‑контракти в крипто стикаються з хвилею AI‑експлойтів
Висновки Cloudflare з’явилися на тлі зростання ончейн‑втрат. Міст Verus-Ethereum втратив $11 млн унаслідок кросчейн‑атаки в понеділок; здобуті кошти було конвертовано в 5 402 Ether (ETH).
Дослідники Anthropic раніше показали, що AI‑агенти можуть автономно експлуатувати чинні смарт‑контракти з прибутком. В одному з тестів моделі просканували 2 849 розгорнутих контрактів і згенерували експлойти на суму $3 694, витративши $3 476 на обчислення.
CertiK попередила 15 травня, що застарілі смарт‑контракти опинилися в центрі нової хвилі полювання, керованої ШІ. DeFi‑протоколи втратили понад $605 млн приблизно за 20 днів квітня, зокрема $293 млн, виведених із KelpDAO 19 квітня. Соціальна інженерія забрала ще $306 млн упродовж першого кварталу.
Читайте далі: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul