نظرة مسبقة على "كلود ميثوس": الذكاء الاصطناعي غير المُطرح من شركة "أنثروبيك" يكتشف ثغرات أمنية في أنظمة لينكس وأوبن بي إس دي لم يكتشفها البشر على مدى عقود

النقاط الرئيسية:

• حصلت نسخة Claude Mythos Preview من Anthropic على 83.1% في Cybergym، حيث اكتشفت آلاف الثغرات الأمنية من نوع "صفر يوم" في جميع أنظمة التشغيل والمتصفحات الرئيسية.
• تم إطلاق مشروع Glasswing في 7 أبريل 2026، بمشاركة 11 شريكًا مؤسسًا وبقيمة تصل إلى 100 مليون دولار من أرصدة استخدام Mythos للدفاعيين.
• نجت ثغرة في OpenBSD عمرها 27 عامًا وخطأ في FFmpeg عمره 16 عامًا من ملايين الاختبارات الآلية حتى اكتشفهما Mythos في غضون ساعات.

حصلت الذكاء الاصطناعي Claude Mythos على 83% في Cybergym واكتشفت عيوبًا خطيرة في جميع المتصفحات وأنظمة التشغيل الرئيسية

أكمل النموذج، الذي تصفه Anthropic بأنه أكبر مكسب في قدرات النموذج الفردي في تاريخ الذكاء الاصطناعي الرائد، تدريبه وتم الإعلان عنه علنًا في 7 أبريل 2026، بعد ظهور تفاصيل داخلية في أواخر مارس من خلال نظام إدارة محتوى تم تكوينه بشكل خاطئ كشف عن ما يقرب من 3000 ملف داخلي.

لا تطلق Anthropic نسخة Claude Mythos Preview للجمهور أو من خلال واجهة برمجة التطبيقات العامة الخاصة بها. قيدت الشركة الوصول إلى مجموعة مختارة من الشركاء بعد أن أظهر النموذج قدرته على اكتشاف واستغلال عيوب برمجية غير معروفة بسرعة ونطاق يفوقان كلاً من الخبراء البشريين وأنظمة الذكاء الاصطناعي السابقة.

فيما يتعلق بمعايير الأمن السيبراني، من الصعب تجاهل الفجوة بين Mythos و Claude Opus 4.6. سجل Mythos 83.1% على Cybergym مقابل 66.6% لـ Opus 4.6، و 93.9% مقابل 80.8% على SWE-bench Verified. في SWE-bench Pro، سجل 77.8% مقابل 53.4% — بفارق 24 نقطة. وحقق 56.8% في اختبار Humanity's Last Exam بدون أدوات، مقارنة بـ 40.0% لسلفه.

لا يحتاج النموذج إلى تدريب خاص بالأمن السيبراني لاكتشاف هذه الأخطاء. وتأتي مكاسبه من التقدم الأوسع نطاقًا في الاستدلال والتخطيط متعدد الخطوات والسلوك الوكالي المستقل. وبالنظر إلى قاعدة كود مستهدفة في حاوية معزولة، فإنه يقرأ الكود المصدري، ويشكل فرضيات حول عيوب أمان الذاكرة، ويقوم بتجميع وتشغيل البرنامج، ويستخدم أدوات تصحيح الأخطاء مثل Address Sanitizer، ويصنف الملفات حسب احتمالية الضعف، وينتج تقارير أخطاء تم التحقق من صحتها مع استغلالات فعالة لإثبات المفهوم.

لم تتطلب بعض هذه الاستغلالات أي توجيه بشري تقريبًا. أفاد موقع Tomshardware.com أنه تم اكتشاف ثغرة أمنية في OpenBSD TCP SACK عمرها 27 عامًا، وهي عبارة عن تجاوز دقيق في عدد صحيح يسمح للمهاجم بتعطيل أي مضيف مستجيب عن بُعد عن طريق صياغة حزم بيانات ضارة، وقد تم اكتشافها بشكل مستقل بعد ما يقرب من 1000 عملية تشغيل بتكلفة إجمالية أقل من 20,000 دولار. نجت ثغرة في FFmpeg H.264 عمرها 16 عامًا من أكثر من خمسة ملايين اختبار آلي وعمليات تدقيق متعددة قبل أن يكتشفها Mythos.

جذبت نتائج المتصفح اهتمامًا خاصًا. في اختبار محرك JavaScript في Firefox 147، أنتج Mythos 181 استغلالًا كاملًا للصدفة و29 حالة للتحكم في السجلات. أنتج Claude Opus 4.6 استغلالين للصدفة عبر نفس مجموعة الاختبارات. كما أنشأ النموذج سلاسل فعالة لتصعيد الامتيازات في نواة Linux، من مستخدم إلى root على الخوادم، بعد تصفية 100 من الثغرات الأمنية الحديثة (CVE) لتصل إلى 40 مرشحًا قابلاً للاستغلال، ونجح في استغلال أكثر من نصفها.

قام المراجعون البشريون بمراجعة 198 من تقارير الثغرات الأمنية للنموذج واتفقوا مع تقييمات خطورتها بنسبة 89% من المرات، مع اتفاق بنسبة 98% ضمن مستوى خطورة واحد.

مشروع Glasswing

تم إصلاح أقل من 1٪ من الأخطاء التي تم تحديدها حتى الآن. تنسق شركة Anthropic الكشف المسؤول، وتنشر التزامات تشفيرية SHA-3 للمشكلات التي لم يتم إصلاحها، وتتبع جدولاً زمنياً مدته 90+45 يوماً قبل نشر التفاصيل الكاملة. يعد خطأ تنفيذ التعليمات البرمجية عن بُعد في خادم FreeBSD NFS CVE-2026-4747، الذي يعود إلى 17 عاماً، والذي يمنح وصولاً كاملاً غير مصدق إلى الجذر، من بين الأمثلة المذكورة التي تم الكشف عنها بالفعل.

مشروع Glasswing، الذي تم الإعلان عنه جنبًا إلى جنب مع النموذج، هو محاولة من Anthropic لتوجيه هذه القدرات نحو الدفاع قبل أن تصبح أدوات مماثلة متاحة على نطاق واسع. تشمل الشركاء المؤسسين Amazon Web Services وApple وBroadcom وCisco وCrowdstrike وGoogle وJPMorganChase وLinux Foundation وMicrosoft وNvidia وPalo Alto Networks. ويجري توسيع نطاق الوصول ليشمل أكثر من 40 مؤسسة برمجيات حيوية إضافية.

التزمت شركة Anthropic بتقديم 4 ملايين دولار على شكل تبرعات للأمن مفتوح المصدر: 2.5 مليون دولار لـ Alpha-Omega من خلال OpenSSF عبر مؤسسة Linux، و 1.5 مليون دولار لمؤسسة Apache Software.

أقرت الشركة بأن أدوات الذكاء الاصطناعي مثل Mythos تقلل من العوائق التي تحول دون اكتشاف الثغرات واستغلالها، ولفتت الانتباه إلى المخاطر قصيرة المدى التي تشكلها الجهات الحكومية، مثل الصين وإيران وكوريا الشمالية وروسيا، والجماعات الإجرامية في حالة انتشار قدرات مماثلة دون ضوابط. ووصفت الشركة الفترة التي ستشهد اضطرابات انتقالية قبل أن يتمكن المدافعون عن الأمن من دمج التكنولوجيا بشكل كامل.

وقالت Anthropic إن الإصدارات القادمة من Claude Opus ستتضمن إجراءات وقائية للكشف عن النتائج الخطيرة للأمن السيبراني وحظرها، وتخطط لإطلاق برنامج للتحقق السيبراني للمتخصصين في الأمن الذين تم فحصهم. ومن المتوقع صدور تقرير عام حول نتائج الشركاء ونقاط الضعف التي تم إصلاحها في غضون 90 يوماً.