Cloudflare 週一證實,Anthropic 尚未釋出的 Mythos Preview 模型,將多個錯誤串連成可運作的攻擊,在其超過 50 個儲存庫中成功建立漏洞利用。
Cloudflare Project Glasswing 發現
這項揭露來自 Cloudflare 資安長 Grant Bourzikas 的一篇部落格文章。他表示團隊曾將 Mythos Preview 指向涵蓋執行階段、邊緣資料路徑與協定堆疊的正式環境程式碼。Cloudflare 加入了 Anthropic 面向防禦型安全合作夥伴、採邀請制的 Project Glasswing 計畫。Bourzikas 稱該模型是「真正的前進一步」,並點出兩項競爭對手所欠缺的能力。
Mythos 能將多個小型攻擊原語串連成可行的概念驗證攻擊。該模型也會在暫存環境中編譯並執行利用程式碼,當某次執行失敗時,會再度修正自己的假設。
文章同時也指出此預覽模型在拒絕請求時表現不一致。
在其中一個案例中,Mythos 在確認某個程式碼庫存在多個記憶體錯誤後,拒絕撰寫示範用的漏洞程式;但在另一個會話中,當同一項任務以不同方式表述時,它又同意執行。
延伸閱讀: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多代理框架勝過單一掃描器
Cloudflare 表示,單純將一個通用程式碼代理指向某個儲存庫,並不足以進行漏洞研究。Bourzikas 反而建立了一個多階段框架,讓大約 50 個並行代理在狹義任務上運作。這條管線會執行偵察、狩獵、對抗式驗證、去重與可達性追蹤。
其中一個獨立代理會在每項發現進入分類佇列前,嘗試推翻該結果,藉此降低常見於 C 與 C++ 等記憶體不安全語言中的誤報率。Anthropic 在 Project Glasswing 之下已承諾提供 1 億美元的模型額度,以及 400 萬美元捐款給開源安全組織。
Mythos Preview 不會向公眾釋出。
加密智慧合約面臨 AI 攻擊浪潮
Cloudflare 的發現出現之際,鏈上損失正不斷累積。Verus-Ethereum 橋週一在一次跨鏈攻擊中損失 1,100 萬美元,所得資金被兌換成 5,402 枚 Ether (ETH)。
Anthropic 研究人員先前曾證實,AI 代理能自主且有利可圖地利用線上合約。在一項測試中,模型掃描了 2,849 個已部署合約,產生的攻擊獲利為 3,694 美元,而運算成本為 3,476 美元。
CertiK 在 5 月 15 日警告,舊版智慧合約如今位於 AI 驅動獵殺浪潮的中心。DeFi 協議在 4 月大約 20 天內損失超過 6.05 億美元,其中包含 4 月 19 日發生、金額達 2.93 億美元的 KelpDAO 盜資事件。社交工程在第一季則額外造成 3.06 億美元損失。
下一篇閱讀: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul