Cloudflare 於週一證實,Anthropic 尚未發布的 Mythos Preview 模型在其逾 50 個原始碼儲存庫中,把多個漏洞串聯成實際可用的攻擊程式。
Cloudflare Project Glasswing 的發現
這項披露來自 Cloudflare 資安長 Grant Bourzikas 的部落格文章。他表示,團隊曾將 Mythos Preview 指向涵蓋執行階段、邊緣資料路徑與通訊協定堆疊的正式環境原始碼。Cloudflare 參與了 Anthropic 僅限受邀的防禦性安全合作計畫 Project Glasswing。Bourzikas 稱這款模型是「真正的進步」,並指出其具備兩項競爭對手所欠缺的能力。
Mythos 能將多個小型攻擊原語串接成可運作的概念驗證攻擊(PoC)。該模型也會在暫存環境中編譯並執行攻擊程式碼,若執行失敗,則會修正自身假設。
文章同時指出,預覽模型在拒絕請求時表現不一致。
在其中一個案例中,Mythos 在確認某套程式碼中存在多個記憶體錯誤後,拒絕撰寫示範性攻擊程式;但在另一個獨立對話中,以不同方式描述相同任務後,它又同意執行。
延伸閱讀: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多代理工具鏈勝過單一掃描器
Cloudflare 表示,單純將一個通用程式碼代理指向原始碼庫,無法有效執行弱點研究。Bourzikas 反而打造了一個多階段工具鏈,約有 50 個並行代理,各自負責狹義任務。這條流水線會依序執行偵察、漏洞獵捕、對抗式驗證、去重與可達性追蹤。
在每項發現進入分級處理佇列之前,都會由一個獨立代理嘗試推翻結果,以降低誤報,這類誤報在以 C、C++ 撰寫、且不具記憶體安全性的程式碼中尤為常見。Anthropic 透過 Project Glasswing 承諾 提供價值 1 億美元的模型點數,以及 400 萬美元捐款給開源安全組織。
Mythos Preview 不會對外公開發布。
加密智慧合約面臨 AI 攻擊浪潮
就在 Cloudflare 公布結果之際,鏈上損失持續累積。Verus-Ethereum 跨鏈橋於週一遭攻擊損失 1,100 萬美元,所得資金被兌換成 5,402 枚 以太幣 (ETH)。
Anthropic 研究人員先前曾展示,AI 代理可以自主且有利可圖地攻擊線上智慧合約。在其中一項測試中,模型掃描了 2,849 份已部署合約,產生的攻擊總價值達 3,694 美元,而運算成本為 3,476 美元。
CertiK 在 5 月 15 日警告,舊版智慧合約如今已站在 AI 驅動獵殺浪潮的中心。DeFi 協議在 4 月約 20 天內損失逾 6.05 億美元,其中包括 4 月 19 日發生、金額高達 2.93 億美元的 KelpDAO 盜資事件($293 million KelpDAO drain)。在今年第一季,社交工程攻擊則額外造成約 3.06 億美元損失。
下一篇: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul