Pratonton Claude Mythos: AI Belum Dikeluarkan Anthropic Memecahkan Pepijat Linux dan OpenBSD yang Manusia Terlepas Pandang Selama Berdekad-dekad

Intipati Utama:

• Pratonton Claude Mythos Anthropic memperoleh 83.1% pada Cybergym, menemui ribuan sifar hari merentasi setiap OS dan pelayar utama.
• Project Glasswing dilancarkan pada 7 April 2026, dengan 11 rakan pengasas dan sehingga $100 juta kredit penggunaan Mythos untuk pihak pertahanan.
• Kecacatan OpenBSD berusia 27 tahun dan pepijat FFmpeg berusia 16 tahun terselamat daripada berjuta-juta ujian automatik sehingga Mythos menemuinya dalam beberapa jam.

AI Claude Mythos Mencatat 83% pada Cybergym dan Menemui Kecacatan Kritikal Merentasi Setiap Pelayar dan OS Utama

Model ini, yang digambarkan oleh Anthropic sebagai peningkatan keupayaan model tunggal terbesar dalam sejarah AI peringkat hadapan, menamatkan latihan dan diumumkan kepada umum pada 7 April 2026, selepas butiran dalaman tersebar pada penghujung Mac melalui sistem pengurusan kandungan yang tersalah konfigurasi yang mendedahkan kira-kira 3,000 fail dalaman.

Anthropic tidak akan mengeluarkan Pratonton Claude Mythos kepada umum atau melalui API amnya. Syarikat itu mengehadkan akses kepada kumpulan rakan kongsi yang telah ditapis selepas model tersebut menunjukkan bahawa ia boleh menemui dan mengeksploit kelemahan perisian yang tidak diketahui sebelum ini pada kelajuan dan skala yang mengatasi kedua-dua pakar manusia dan sistem AI terdahulu.

Pada penanda aras keselamatan siber, jurang antara Mythos dan Claude Opus 4.6 sukar diabaikan. Mythos memperoleh 83.1% pada Cybergym berbanding 66.6% untuk Opus 4.6, dan 93.9% berbanding 80.8% pada SWE-bench Verified. Pada SWE-bench Pro, ia mencatat 77.8% berbanding 53.4% — perbezaan 24 mata. Ia mencapai 56.8% pada Humanity’s Last Exam tanpa alat, berbanding 40.0% untuk pendahulunya.

Model ini tidak memerlukan latihan khusus keselamatan siber untuk menemui pepijat-pepijat ini. Peningkatannya datang daripada kemajuan yang lebih luas dalam penaakulan, perancangan berbilang langkah, dan tingkah laku agen autonomi. Diberikan kod asas sasaran dalam kontena terpencil, ia membaca kod sumber, membentuk hipotesis tentang kelemahan keselamatan memori, mengkompil dan menjalankan perisian, menggunakan penyahpepijat seperti Address Sanitizer, menyusun kedudukan fail mengikut kebarangkalian kerentanan, dan menghasilkan laporan pepijat yang disahkan dengan eksploit bukti konsep yang berfungsi.

Sebahagian daripada eksploit tersebut memerlukan hampir tiada arahan manusia. Tomshardware.com melaporkan bahawa kerentanan OpenBSD TCP SACK berusia 27 tahun, limpahan integer halus yang membolehkan penyerang merempuh dari jauh mana-mana hos yang memberi respons dengan mencipta paket berniat jahat, ditemui secara autonomi selepas kira-kira 1,000 kali larian pada kos keseluruhan di bawah $20,000. Pepijat FFmpeg H.264 berusia 16 tahun terselamat daripada lebih lima juta ujian automatik dan pelbagai audit sebelum Mythos mengesannya.

Keputusan pelayar menarik perhatian khusus. Pada ujian enjin JavaScript Firefox 147, Mythos menghasilkan 181 eksploit shell penuh dan 29 kes kawalan daftar. Claude Opus 4.6 menghasilkan dua eksploit shell merentasi set ujian yang sama. Model itu juga membina rangkaian penaikan keistimewaan kernel Linux yang berfungsi, pengguna kepada root pada pelayan, selepas menapis 100 CVE terkini kepada 40 calon yang boleh dieksploit dan berjaya mengeksploit lebih daripada separuh.

Pengesah manusia menyemak 198 laporan kerentanan model dan bersetuju dengan penarafan keparahannya 89% daripada masa, dengan 98% persetujuan dalam satu tahap keparahan.

Project Glasswing

Kurang daripada 1% pepijat yang dikenal pasti telah ditampal sepenuhnya setakat ini. Anthropic sedang menyelaras pendedahan bertanggungjawab, menerbitkan komitmen kriptografi SHA-3 untuk isu yang belum ditampal, dan mengikuti garis masa 90 tambah 45 hari sebelum mengeluarkan butiran penuh. Pepijat pelaksanaan kod jauh pelayan NFS FreeBSD CVE-2026-4747, berusia 17 tahun, yang memberikan akses root penuh tanpa pengesahan, adalah antara contoh yang dinamakan yang sudah berada dalam pendedahan.

Project Glasswing, yang diumumkan seiring dengan model tersebut, adalah usaha Anthropic untuk menghalakan keupayaan ini kepada pertahanan sebelum alat serupa tersedia secara meluas. Rakan pengasas termasuk Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks. Akses sedang diperluaskan kepada lebih daripada 40 organisasi perisian kritikal tambahan.

Anthropic komited $4 juta dalam sumbangan keselamatan sumber terbuka: $2.5 juta kepada Alpha-Omega melalui OpenSSF menerusi Linux Foundation, dan $1.5 juta kepada Apache Software Foundation.

Syarikat itu mengakui bahawa alat AI seperti Mythos menurunkan halangan untuk mencari dan mengeksploit kerentanan, dan menandakan risiko jangka terdekat daripada aktor negara, China, Iran, Korea Utara, dan Rusia, serta kumpulan jenayah jika keupayaan serupa tersebar tanpa kawalan. Ia menggambarkan satu tempoh kekacauan peralihan sebelum pihak pertahanan mengintegrasikan teknologi ini sepenuhnya.

Anthropic berkata keluaran Opus Claude yang akan datang akan merangkumi perlindungan untuk mengesan dan menyekat output keselamatan siber berbahaya, dan merancang untuk memperkenalkan Program Pengesahan Siber untuk profesional keselamatan yang telah ditapis. Laporan awam mengenai dapatan rakan kongsi dan kerentanan yang telah ditampal dijangka dalam tempoh 90 hari.