Cloudflare 周一证实,Anthropic 尚未发布的 Mythos Preview 模型在其 50 多个代码库中,将多个漏洞串联成可用的攻击利用。
Cloudflare Project Glasswing 的发现
Cloudflare 首席安全官 Grant Bourzikas 在一篇博客文章中披露了这一消息,他表示自己的团队将 Mythos Preview 指向 覆盖运行时、边缘数据路径和协议栈的生产代码。Cloudflare 加入了 Project Glasswing —— Anthropic 面向防御性安全合作伙伴的邀请制项目。Bourzikas 称该模型是“一大真正的进步”,并指出其具备竞争对手尚不具备的两项能力。
Mythos 将多个小的攻击原语串联成可运行的概念验证利用。该模型还能在沙箱环境中编译和运行利用代码,并在一次运行失败后修正 自身假设。
这篇文章还指出了该预览模型拒绝行为的不一致性。
在一个案例中,Mythos 在确认某个代码库存在多处内存漏洞后,拒绝编写演示利用;但当在单独会话中以不同方式描述相同任务时,它又同意执行。
延伸阅读: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多智能体框架优于单智能体扫描器
Cloudflare 表示,仅将一个通用编码代理指向仓库不足以完成漏洞研究。Bourzikas 转而构建了一套多阶段框架,在窄范围任务上并行运行大约 50 个代理。该流水线依次执行侦察、漏洞搜寻、对抗性验证、去重以及可达性追踪。
一个独立的代理会在每条发现进入分级队列之前尝试加以否证,从而减少困扰 C 和 C++ 等内存不安全语言代码的误报。Anthropic 在 Project Glasswing 下承诺 提供 1 亿美元的模型算力额度,并向开源安全组织捐赠 400 万美元。
Mythos Preview 不会面向公众发布。
加密智能合约面临 AI 利用浪潮
就在 Cloudflare 公布这些发现之际,链上损失仍在攀升。Verus-Ethereum 跨链桥周一在一次跨链攻击中损失 1100 万美元,所得资金被兑换为 5,402 枚 以太币 (ETH)。
Anthropic 研究人员此前展示,AI 代理可以自主、有利可图地攻击在线合约。在一次测试中,模型扫描了 2,849 份已部署合约,并产出总计 3,694 美元价值的利用,计算成本为 3,476 美元。
CertiK 于 5 月 15 日警告,遗留智能合约正处于一波由 AI 驱动的“狩猎浪潮”中心。仅在 4 月大约 20 天内,DeFi 协议就损失逾 6.05 亿美元,其中包括 4 月 19 日发生的、金额高达 2.93 亿美元的 KelpDAO 资金被盗事件。社会工程攻击在第一季度又造成了 3.06 亿美元损失。
下篇阅读: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul