Predogled igre Claude Mythos: Neizdana umetna inteligenca podjetja Anthropic je odkrila napake v sistemih Linux in OpenBSD, ki so jih ljudje desetletja spregledali

Ključne ugotovitve:

• Claude Mythos Preview podjetja Anthropic je na Cybergymu dosegel 83,1 % in odkril tisoče ranljivosti zero-day v vseh glavnih operacijskih sistemih in brskalnikih.
• Projekt Glasswing je bil sprožen 7. aprila 2026 z 11 ustanovnimi partnerji in do 100 milijoni dolarjev kreditov za uporabo Mythosa za zagovornike.
• 27 let stara pomanjkljivost v OpenBSD in 16 let stara napaka v FFmpeg sta preživeli milijone avtomatiziranih testov, dokler ju Mythos ni odkril v nekaj urah.

Claude Mythos AI je na Cybergymu dosegel 83 % in odkril kritične pomanjkljivosti v vseh glavnih brskalnikih in operacijskih sistemih

Model, ki ga Anthropic opisuje kot največji napredek zmogljivosti enega samega modela v zgodovini pionirske umetne inteligence, je zaključil usposabljanje in bil javno predstavljen 7. aprila 2026, potem ko so konec marca na dan prišli notranji podatki zaradi napačno nastavljenega sistema za upravljanje vsebin, ki je razkril približno 3.000 notranjih datotek.

Anthropic ne bo javno objavil predogleda modela Claude Mythos niti prek svojega splošnega API-ja. Podjetje je dostop omejilo na preverjeno skupino partnerjev, potem ko je model dokazal, da lahko odkrije in izkoristi neznane pomanjkljivosti programske opreme s hitrostjo in obsegom, ki presegata tako človeške strokovnjake kot prejšnje sisteme umetne inteligence.

Pri merilih kibernetske varnosti je težko prezreti razliko med Mythosom in Claude Opus 4.6. Mythos je na Cybergymu dosegel 83,1 % v primerjavi z 66,6 % za Opus 4.6, na SWE-bench Verified pa 93,9 % v primerjavi z 80,8 %. Na SWE-bench Pro je dosegel 77,8 % proti 53,4 % – razlika 24 točk. Na Humanity's Last Exam je brez orodij dosegel 56,8 %, v primerjavi s 40,0 % pri svojem predhodniku.

Model za odkrivanje teh napak ne potrebuje posebnega usposabljanja na področju kibernetske varnosti. Njegovi dosežki izhajajo iz širših napredkov na področju sklepanja, večstopenjskega načrtovanja in avtonomnega agencijskega vedenja. Glede na ciljno kodno bazo v izoliranem kontejnerju prebere izvorno kodo, oblikuje hipoteze o pomanjkljivostih varnosti pomnilnika, kompilira in zažene programsko opremo, uporabi razhroščevalce, kot je Address Sanitizer, razvrsti datoteke po verjetnosti ranljivosti in ustvari potrjena poročila o napakah z delujočimi izkoriščanji dokaza koncepta.

Nekatere od teh izkoriščanj niso zahtevale skoraj nobenega človeškega usmerjanja. Tomshardware.com poroča, da je bila 27 let stara ranljivost OpenBSD TCP SACK, subtilni preliv celih števil, ki napadalcu omogoča, da z oblikovanjem zlonamernih paketov na daljavo povzroči sesutje katerega koli odzivnega gostitelja, avtonomno odkrita po približno 1.000 izvedbah s skupnimi stroški pod 20.000 dolarjev. 16 let stara napaka FFmpeg H.264 je preživela več kot pet milijonov avtomatiziranih testov in več revizij, preden jo je Mythos odkril.

Rezultati brskalnikov so pritegnili posebno pozornost. Pri testiranju JavaScript-ovega motorja v Firefoxu 147 je Mythos ustvaril 181 izkoriščanj s polnim shellom in 29 primerov nadzora registrov. Claude Opus 4.6 je v istem nizu testov ustvaril dve izkoriščanji s shellom. Model je po filtriranju 100 nedavnih CVE-jev na 40 izkoriščljivih kandidatov in uspešnem izkoriščanju več kot polovice zgradil tudi delujoče verige za eskalacijo privilegijev jedra Linux, od uporabnika do root na strežnikih.

Človeški validatorji so pregledali 198 poročil o ranljivostih modela in se v 89 % primerih strinjali z njegovimi ocenami resnosti, pri čemer je bilo 98 % strinjanja znotraj ene stopnje resnosti.

Projekt Glasswing

Doslej je bilo v celoti popravljenih manj kot 1 % odkritih napak. Anthropic usklajuje odgovorno razkritje, objavlja kriptografske zaveze SHA-3 za nepopravljene težave in upošteva časovni okvir 90 plus 45 dni, preden objavi vse podrobnosti. Napaka za oddaljeno izvajanje kode na strežniku FreeBSD NFS CVE-2026-4747, stara 17 let, ki omogoča popoln neavtentificiran root dostop, je med navedenimi primeri, ki so že bili razkriti.

Projekt Glasswing, ki je bil napovedan skupaj z modelom, je poskus podjetja Anthropic, da te zmogljivosti usmeri v obrambo, preden postanejo podobna orodja splošno dostopna. Med ustanovnimi partnerji so Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia in Palo Alto Networks. Dostop se širi na več kot 40 dodatnih organizacij s kritično programsko opremo.

Anthropic je namenil 4 milijone dolarjev za donacije za varnost odprtokodne programske opreme: 2,5 milijona dolarjev za Alpha-Omega prek OpenSSF prek Linux Foundation in 1,5 milijona dolarjev za Apache Software Foundation.

Podjetje je priznalo, da orodja umetne inteligence, kot je Mythos, znižujejo prag za odkrivanje in izkoriščanje ranljivosti, ter opozorilo na kratkoročno tveganje s strani državnih akterjev, Kitajske, Irana, Severne Koreje in Rusije ter kriminalnih skupin, če se podobne zmogljivosti razširijo brez nadzora. Opisalo je obdobje prehodnih nemirov, preden branilci v celoti integrirajo tehnologijo.

Anthropic je povedal, da bodo prihajajoče izdaje Claude Opus vključevale zaščitne ukrepe za odkrivanje in blokiranje nevarnih izhodov kibernetske varnosti, ter načrtuje uvedbo programa za kibernetsko preverjanje za preverjene varnostne strokovnjake. Javno poročilo o ugotovitvah partnerjev in popravljenih ranljivostih se pričakuje v 90 dneh.