Cloudflare 於星期一確認,Anthropic 未發佈的 Mythos Preview 模型,將多個錯誤串連成可運作的攻擊程式,影響其超過 50 個程式碼儲存庫。
Cloudflare Project Glasswing 的發現
此一披露來自 Cloudflare 資安長 Grant Bourzikas 的網誌文章。他表示團隊曾將 Mythos Preview 指向涵蓋執行時、邊緣資料路徑及協定堆疊的正式環境程式碼。Cloudflare 加入了 Project Glasswing,這是 Anthropic 為防禦性安全合作夥伴設立的邀請制計畫。Bourzikas 稱該模型是「真正的進步」,並指出其具備兩項競爭對手所欠缺的能力。
Mythos 將數個小型攻擊原語串連成可運作的概念驗證(PoC)。該模型亦會在暫存環境中編譯並執行攻擊程式碼,如執行失敗便修正其假設。
文章同時指出此預覽模型在拒絕請求上的不一致表現。
在其中一個案例中,Mythos 在確認某程式碼庫存在多個記憶體錯誤後,拒絕撰寫示範用的攻擊程式;但在另一個工作階段,當同一項任務以不同方式描述時,它又同意執行。
延伸閱讀: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多代理工具組勝過單一掃描器
Cloudflare 表示,單純將一個通用寫碼代理指向某個程式庫,並不足以做好弱點研究。Bourzikas 因此建立了一套多階段工具組,大約同時執行 50 個針對窄範圍任務的平行代理。這條管線涵蓋偵察、獵捕、對抗式驗證、去重以及可達性追蹤。
一個獨立代理會在每項發現進入分類隊列前嘗試加以推翻,藉此減少困擾以 C、C++ 等非記憶體安全語言撰寫程式的高比例誤報。Anthropic 於 Project Glasswing 下承諾提供價值 1 億美元的模型點數,以及 400 萬美元捐款予開源安全團體。
Mythos Preview 並不會向公眾發佈。
加密智能合約面臨 AI 攻擊浪潮
Cloudflare 的發現出現之際,鏈上損失持續增加。Verus-Ethereum 跨鏈橋於星期一損失 1,100 萬美元,屬於一次跨鏈攻擊,所得資金被兌換為 5,402 枚 Ether (ETH)。
Anthropic 研究人員先前曾展示,AI 代理可以自主地、帶來利潤地利用在線合約。在其中一項測試中,模型掃描了 2,849 個已部署合約,產生的攻擊收益為 3,694 美元,而運算成本為 3,476 美元。
CertiK 於 5 月 15 日警告,傳統智能合約現正處於以 AI 驅動的獵捕浪潮中心。DeFi 協議於 4 月約 20 天內損失超過 6.05 億美元,其中包括 4 月 19 日發生、金額達 2.93 億美元的 KelpDAO 資金外流事件($293 million KelpDAO drain)。在今年首季,社交工程亦帶走了另外 3.06 億美元。
下一篇閱讀: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul