Cloudflare 於週一證實,Anthropic 尚未發佈的 Mythos Preview 模型在其超過 50 個程式碼儲存庫中,把多個錯誤串連成可行的攻擊利用程式。
Cloudflare Project Glasswing 的發現
消息來自 Cloudflare 資安長 Grant Bourzikas 的一篇網誌文章,他表示團隊將 Mythos Preview 指向涵蓋執行環境、邊緣資料路徑與通訊協定堆疊的正式環境程式碼。相關說明。Cloudflare 加入了 Anthropic 的防禦性安全合作計畫 Project Glasswing(僅限受邀夥伴)。Bourzikas 稱這個模型是「真正的進步」,並指出其具備兩項競爭對手尚未擁有的能力。
Mythos 將數個細小的攻擊原語串接成可運作的概念驗證攻擊。此外,模型還會在臨時環境中編譯並執行攻擊程式碼,若執行失敗,便會修正原先的假設。
文章同時指出預覽模型在拒絕請求時表現不一致。
在其中一個案例中,Mythos 在確認某程式碼庫中存在多個記憶體錯誤後,拒絕撰寫示範攻擊程式;但在另一個新對話中,只是換個方式描述同樣的任務,它便同意執行。
延伸閱讀: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多代理工具鏈勝過單一掃描器
Cloudflare 表示,單純將一個通用程式代理指向儲存庫,不足以作為漏洞研究方法。Bourzikas 轉而打造一個多階段工具鏈,讓約 50 個平行代理分別負責狹義任務。整個流程涵蓋偵察、搜尋、對抗式驗證、去重以及可達性追蹤。
一個獨立代理會在每項發現進入分類隊列前嘗試將其推翻,藉此減少常見於 C、C++ 等記憶體不安全語言中的大量誤報。Anthropic 透過 Project Glasswing 承諾 提供價值 1 億美元的模型點數以及 400 萬美元捐款給開源安全組織。
Mythos Preview 不會向公眾發佈。
加密智慧合約面臨 AI 攻擊浪潮
Cloudflare 的最新發現出爐之際,鏈上損失持續攀升。Verus-Ethereum 跨鏈橋在週一損失 1,100 萬美元,攻擊者透過跨鏈攻擊得手,並將所得兌換為 5,402 顆 Ether (ETH)。
Anthropic 研究人員先前曾展示,AI 代理可以自主、並帶來獲利地攻擊仍在運行的合約。在其中一項測試中,模型掃描了 2,849 個已部署合約,最終產生的攻擊獲利 3,694 美元,而計算成本為 3,476 美元。
CertiK 於 5 月 15 日警告,許多舊版智慧合約如今已處在 AI 駭客狩獵浪潮的中心。DeFi 協議在 4 月約 20 天內損失超過 6.05 億美元,其中包括 4 月 19 日發生的、金額達 2.93 億美元的 KelpDAO 盜資事件。此外,第一季透過社交工程造成的損失還有 3.06 億美元。
下一步閱讀: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul