Claude Mythos otkrio tisuće zero-day ranjivosti — i svi trče zakrpati ih
Claude Mythos otkrio tisuće zero-day ranjivosti — i svi trče zakrpati ih📷 © Tech&Space
- ★12 tech divova i 40+ organizacija u 'Project Glasswing'
- ★72,4% uspjeha u eksploataciji Firefoxovih bugova
- ★JIT heap spray koji je probio renderer i OS sandboxe
Anthropicov najnoviji model, Claude Mythos Preview, ne samo da pronalazi tisuće kritičnih ranjivosti — on ih može autonomno pretvoriti u funkcionalne eksploate. Prema podacima koje je kompanija podijelila s Tom’s Hardwareom, model je u Firefoxovom JavaScript shellu uspio eksploatirati 72,4% identificiranih bugova, a u 11,6% slučajeva postigao kontrolu nad registrima. To nije teorijska prijetnja: Mythos je napisan eksploit koji je lančano iskoristio četiri ranjivosti, kreirajući kompleksni JIT heap spray koji je probio i renderer sandbox i OS-level zaštitu.
Razlika između ovog i prethodnih AI alata za sigurnosno testiranje? Skala i automatizacija. Dok su raniji modeli kao što su GitHub Copilot ili OpenAIjev Codex mogli pomagati u pronalaženju bugova, Mythos ih ne samo locira nego i samostalno gradi eksploate — što ga čini potencijalno opasnijim od većine human-in-the-loop alata. Anthropic to ne objavljuje kao produkt, već kao upozorenje: model je trenutno ograničen na izabrane partnere pod okriljem Project Glasswinga, inicijative koja okuplja 12 tech divova (od Applea do Nvidie) i preko 40 dodatnih organizacija, uključujući Linux Foundation i U.S. vladu.
Čudno je da se o ovome govori kao o 'napretku' umjesto o kriznom pozivu. Ako model može toliko lako pronaći i iskoristiti bugove koji su dekadama ostali nezakrpani, što znači da su ih propustili i ljudski auditori i postojeći alati? Odgovor leži u tome kako Mythos interpretira kod na način koji ljudima nije intuitivan — kombinirajući statičku analizu, dinamičko testiranje i generiranje koda u realnom vremenu. To nije evolucija, već skok u nepoznato.
Demo nasuprot deploymenta: Anthropic drži model pod ključem dok industrija žuri📷 © Tech&Space
Demo nasuprot deploymenta: Anthropic drži model pod ključem dok industrija žuri
Anthropicove brojke govore više od marketinga: 150–175 'tier 1' crashova (kritičnih padova koji omogućavaju daljnju eksploataciju) i 100 'tier 2' slučajeva. Za usporedbu, većina sigurnosnih alata se hvali ako pronađe desetak visokorizičnih bugova po auditu. Ovde se radi o masovnom otkrivanju — i to ne samo u legacy kodu, već i u modernim sistemima. Primjer: model je generirao eksploit koji je obišao sve slojeve zaštite u browseru, od JavaScript enginea do OS kernel sandboksa. To nije teorija; to je dokazano u kontroliranim uvjetima.
Industrija reagira kao da je u pitanju trka naoružanja, a ne rutinski patch cycle. Razlog? Ako jedan model može toliko brzo pronaći ranjivosti, što sprečava drugu stranu — recimo, državne aktere ili kriminalce — da istu tehniku iskoristi za masovne napade? Anthropic tvrdi da drži model 'pod ključem' dok se bugovi zakrpavaju, ali ko garantira da slične sposobnosti ne razvijaju i drugi? Open-source zajednica već spekulira da li je ovo samo pitanje vremena prije nego što se takvi alati pojave na crnom tržištu.
Pravi signal ovdje nije u broju bugova, već u promjeni paradigme: sigurnost softvera više ne može biti reaktivna. Ako AI može generirati eksploate brže nego što ljudi pišu patcheve, cijeli model razvoja softvera mora u brzinu. To možda zvuči kao tehnički detalj, ali je zapravo pitanje ko kontrolira ovu moć — i tko će platiti cijenu ako se stvari pokrenu krivo.