При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

mythos, безопасность, искусственный интеллект, уязвимость

0

2

https://www.opennet.ru/opennews/art.shtml?num=65515:

Компания Anthropic подвела первые итоги тестирование предварительного варианта AI-модели Mythos, в которой были существенно расширены возможности по поиску ошибок, выявлению уязвимостей и написанию готовых эксплоитов. Компания Anthropic при помощи AI-модели Mythos провела сканирование более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей. 6202 уязвимостям был назначен высокий или критический уровень опасности.

1752 из 6202 уязвимостей, отнесённых AI-моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 случаях (90.6%) наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился высокий или критический уровень опасности. При текущих показателях ложных срабатываний предполагается, что из 6202 заявленных AI-моделью опасных уязвимостей примерно 3900 (62.4%) сохранят выбранный моделью высокий уровень опасности, не считая опасных уязвимостей найденных отдельно при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. По отдельным запросам сотрудники Anthropic напрямую передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие 281 открытого проекта получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участников проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявили в своих кодовых базах более 10 тысяч опасных уязвимостей. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла при помощи Mythos 271 уязвимостей, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

Ссылка

← SEAL2 GUI

Логический патч для правовой системы: полное обнуление концепции авторского права →

← 1 2 →

Ответ на: комментарий от firkax 25.05.26 00:29:55 MSK

Не всех, а т.н. «безопасников». Они же едва умнее табуретки. Самый простой пример: пронос флешек намертво запретить, зато выдать разрешение на пронос ноутбука. Ну и нахрена козе баян? Что такого принципиального страшного можно сделать через флешку, что невозможно через ноут?

next_time ★★★★★
(01.06.26 01:26:53 MSK)

Ответ на: комментарий от next_time 01.06.26 01:26:53 MSK

Ну вот, показательные посадки «умников» исправят эту ситуацию. Ни у кого не будет больше желания что-то там пронести с обоснованием «да они все идиоты», рискуя оказаться на несколько лет в тюрьме.

Что такого принципиального страшного можно сделать через флешку, что невозможно через ноут?

Если тебя интересует этот вопрос, и ты уверен в своей правоте, можно попробовать обсудить с руководством неэффективность текущих ограничений. Но только обсудить, решать в любом случае руководству и нанятым им безопасникам. И саботировать принятые нормы безопасности, вне зависимости от твоего мнения о них, в любом случае недопустимо.

firkax ★★★★★
(01.06.26 06:58:39 MSK)

Ответ на: комментарий от firkax 01.06.26 06:58:39 MSK

«попробовать обсудить с руководством неэффективность текущих ограничений» – руководством фирмы или руководством безопасников, которые вообще из другой организации (росгвардия) и срать хотели на здравый смысл и коммерческие задачи? Если с первыми, то какой смысл – они на росгвардию влияния не имеют. Если со вторыми, то опять какой смысл – их руководство последний раз на белый свет из бункера 9 мая вылезало.

next_time ★★★★★
(01.06.26 23:06:31 MSK)

Ответ на: комментарий от firkax 01.06.26 06:58:39 MSK

А, да, ещё вопрос - почему нам, русским, флешки нельзя проносить, а гражданам вероятного противника (китайцам) - можно. Что же такого русский Ваня сможет пронести/вынести на предприятие, чего Вэй не сможет. И почему Ване даже сраный мобильник нельзя пронести, а у Вэя - широкополосный интернет (мне бы домой такой пинг и такую скорость).

next_time ★★★★★
(01.06.26 23:11:44 MSK)

Ответ на: комментарий от next_time 01.06.26 23:06:31 MSK

С теми, кто нанял безопасников.

Если нет смысла или нет возможности - значит не обсуждай.

Разумеется, это всё никаким образом не может быть оправданием для саботажа установленного порядка защиты ИТ-систем. До тех пор, пока распоряжение не отменено, его надо соблюдать. Принимать решение касательно необходимости его введения и/или отмены - вне твоих полномочий и, с большой вероятностью, и вне твоей компетенции (но даже если вдруг компетенция имеется, полномочия она автоматически не создаёт).

руководством фирмы или руководством безопасников, которые вообще из другой организации (росгвардия) и срать хотели на здравый смысл и коммерческие задачи?

Росгвардия в коммерческих фирмах не самозарождается. Либо её туда позвало руководство фирмы, либо она там присутствует в связи с желанием руководства фирмы участвовать в каких-то гос. проектах.

firkax ★★★★★
(01.06.26 23:17:20 MSK)

Ответ на: комментарий от firkax 01.06.26 23:17:20 MSK

Росгвардия в коммерческих фирмах не самозарождается.

Она там именно что самозародилась. В связи с известными событиями и тем, что это Газпром.

Разумеется, это всё никаким образом не может быть оправданием для саботажа

почему когда китаец делает Х - это не саботаж, а когда русский точно такой же Х - саботаж?

next_time ★★★★★
(01.06.26 23:21:22 MSK)

Ответ на: комментарий от next_time 01.06.26 23:11:44 MSK

Я не в курсе твоих правил (и не в курсе что у тебя за предприятие вообще), обсуждай их с теми кто эти правила установил.

Что бы в них ни было написано, саботаж ситуацию только усугубляет.

firkax ★★★★★
(01.06.26 23:21:46 MSK)

Ответ на: комментарий от firkax 01.06.26 23:21:46 MSK

как же вы далеки от реальной жизни

next_time ★★★★★
(01.06.26 23:24:55 MSK)

Ссылка

Ответ на: комментарий от next_time 01.06.26 23:21:22 MSK

Так газпром не коммерческая фирма, это гос предприятие (замаскированное под коммерческую фирму).

И повторю, я твоих правил не читал. Если в них и правда написано, что разрешение на пронос флешек зависит от национальности проносящего - будет очень странно. Но скорее всего там такого не написано.

firkax ★★★★★
(01.06.26 23:25:20 MSK)

Ответ на: комментарий от firkax 01.06.26 23:25:20 MSK

От паспорта, конечно, а не от национальности. Точнее, от фирмы-подрядчика. Китайским подрядчикам - можно, российским (в т.ч. сотрудникам самого газпрома) - нельзя. Но в итоге всё сводится к паспорту, а через него - к национальности. Знаете, в Китае не так много русских живёт, тем более, желающих вернуться вахтой в РФ поработать на газпром.

next_time ★★★★★
(03.06.26 00:34:34 MSK)