Cloudflare 于周一确认,Anthropic 尚未发布的 Mythos Preview 模型在其 50 多个代码仓库中,将多个漏洞串联成可用的攻击利用。
Cloudflare Project Glasswing 的发现
这一披露来自 Cloudflare 首席安全官 Grant Bourzikas 的博客文章。他表示,团队将 Mythos Preview 指向 生产代码,范围涵盖运行时、边缘数据路径以及协议栈。Cloudflare 加入了 Anthropic 面向防御性安全合作伙伴的仅邀计划 Project Glasswing。Bourzikas 称该模型是“真正的进步”,并指出其具备两个竞争对手所不具备的能力。
Mythos 将多个较小的攻击基元串联成可用的概念验证攻击。该模型还会在沙箱环境中编译并运行漏洞利用代码,当一次运行失败时,会修正自己的假设。
博文同时指出了该预览模型在拒绝执行请求时表现出的不一致性。
在其中一个案例中,Mythos 在确认代码库中存在多个内存漏洞后,拒绝编写演示用的漏洞利用代码;但在另一会话中,用不同方式描述同一任务时,它又同意执行。
相关阅读: Crypto Funds Bleed $1.07B As Iran Tensions End Six-Week Inflow Run
多智能体框架优于单一扫描器
Cloudflare 表示,仅把一个通用代码智能体指向仓库并不足以做好漏洞研究。Bourzikas 因此构建了一个多阶段框架,在窄范围任务上并行运行约 50 个智能体。该流水线负责执行侦察、漏洞挖掘、对抗性验证、去重以及可达性追踪。
一个独立智能体会在每个发现进入分级队列前尝试“推翻”它,从而降低 C 与 C++ 这类内存不安全语言代码中常见的误报率。Anthropic 在 Project Glasswing 框架下承诺 提供 1 亿美元的模型算力额度,并向开源安全组织捐赠 400 万美元。
Mythos Preview 不会公开发布。
加密智能合约将面临 AI 漏洞利用浪潮
Cloudflare 的最新发现出现之际,链上损失持续攀升。Verus-Ethereum 跨链桥在周一遭遇攻击损失 1100 万美元,所得资金被兑换成 5,402 枚 以太币 (ETH)。
Anthropic 研究人员此前展示 了 AI 智能体可以自主、有利可图地攻击在线合约。在一次测试中,模型扫描了 2,849 份已部署合约,构造出的漏洞利用可获利 3,694 美元,而计算成本为 3,476 美元。
CertiK 于 5 月 15 日警告,传统智能合约正处于一轮由 AI 驱动的狩猎浪潮中心。仅在 4 月大约 20 天时间里,DeFi 协议就损失了逾 6.05 亿美元,其中包括 4 月 19 日发生的、金额高达 2.93 亿美元的 KelpDAO 资金被盗事件($293 million KelpDAO drain)。社交工程在一季度又造成了 3.06 亿美元损失。
下篇阅读: Iran Settles Hormuz Shipping Cover In Bitcoin, Eyes $10B Haul