Anthropic объявила о создании мифического уровня модели: Claude Mythos, которая превосходит opus4.6 по коду и хакерским возможностям, и не будет доступна для публики!

Антропик сегодня объявила план: Project Glasswing («проект Glasswing»). Его запускают потому, что Anthropic обучила совершенно новую сверхмощную модель Claude Mythos Preview — по сути, это та самая модель, о которой упоминалось в утечке исходного кода на днях.

Участниками проекта являются Amazon AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks и сам Anthropic — всего 12 организаций, которые совместно инициировали проект.

Если говорить простыми словами: поскольку эта модель слишком мощная, нужно внедрить режим безопасного тестирования — ее будут использовать только одобренные организации внутри, и наружу она не будет открыта. Насколько она мощная? Смотрите сразу на данные: возможности в коде и в рассуждениях превосходят opus 4.6:

Код:

Рассуждения:

Поиск и использование компьютера

opus буквально означает «шедевр», Mythos — «миф». Генеральный директор Anthropic и целая группа партнеров и крупных фигур вышли поддержать этот проект.

Anthropic четко заявила, что не планирует открывать Claude Mythos Preview для широкой публики. Но долгосрочная цель — дать пользователям возможность безопасно использовать модели с сопоставимым уровнем возможностей. Для этого они планируют сначала разрабатывать и валидировать соответствующие механизмы защиты на предстоящей модели Claude Opus, и при условиях, где риски контролируемы, выполнить итерации; затем постепенно продвигаться дальше. Вполне возможно, что в скором времени выйдет новая версия opus, которая обеспечит соответствующие возможности.

Давайте подробно посмотрим, что именно такое Project Glasswing.

Что нашла эта модель?

За последние несколько недель Anthropic с помощью Claude Mythos Preview сканировала ведущие операционные системы, браузеры и другие важные программы в мире.

Итог: обнаружены тысячи ранее никогда не выявлявшихся уязвимостей нулевого дня, причем значительная их часть была оценена как высокий уровень риска.

Несколько конкретных примеров:

Уязвимость в OpenBSD, которая существует уже 27 лет. OpenBSD известна своей безопасностью и используется для запуска средств вроде брандмауэров и других ключевых инфраструктур. Эта уязвимость позволяет атакующему, только подключившись к целевой машине, добиться ее удаленного падения.

Уязвимость в FFmpeg, которая существует уже 16 лет. FFmpeg используется бесчисленным количеством программ для видео-кодеков и декодеков. Модель нашла строку кода с уязвимостью: ранее ее проверяли автоматизированные тестовые инструменты 5 миллионов раз — и она так и не была обнаружена.

В Linux-ядре модель автономно обнаружила и «связала» несколько уязвимостей, позволив атакующему повысить привилегии с обычных прав пользователя до полного контроля над всей машиной.

Все перечисленные уязвимости уже были сообщены соответствующим разработчикам/поддерживающим сторонам, и в настоящее время они полностью исправлены. Остальные уязвимости Anthropic заранее опубликовала в виде зашифрованных хэш-значений; после завершения исправлений будут раскрыты конкретные детали.

Зачем нужно было сделать это?

Оценка Anthropic такова: возможности ИИ в обнаружении и эксплуатации уязвимостей в программном обеспечении уже превосходят всех, за исключением лишь немногих ведущих специалистов-людей.

Распространение этой способности — вопрос времени, а не вопрос того, произойдет ли это.

Экономический ущерб, причиняемый глобальной киберпреступностью, ежегодно оценивается примерно в 500 миллиардов долларов. Атаки на медицинские системы, энергетическую инфраструктуру и государственные учреждения уже нанесли реальный вред и также создают постоянную угрозу гражданской и военной инфраструктуре.

ИИ снижает стоимость, порог и требуемую профессиональность для проведения таких атак.

Логика Anthropic такова: вместо того чтобы ждать, пока кто-то другой сначала использует эту способность для нападений, лучше активно применять ее для защиты.

Как именно будет реализован план?

Project Glasswing в настоящее время включает два уровня.

Первый уровень — это 12 организаций-основателей: они получат доступ к Claude Mythos Preview для сканирования и исправления уязвимостей в своих ключевых системах, приоритетные направления включают локальное обнаружение уязвимостей, тестирование бинарей в формате «черного ящика», безопасность конечных устройств, penetration testing и т.д.

Второй уровень — это еще более 40 организаций, которые строят или поддерживают ключевую инфраструктуру программного обеспечения: они также получат доступ к модели для сканирования своих собственных и открытых (open source) систем.

Anthropic обязуется предоставить на это максимальный лимит на использование моделей до 100 миллионов долларов. По завершении исследовательского периода превью Claude Mythos Preview будет предоставляться участникам для коммерческого доступа. Цена составит 25/125 долларов за каждый миллион токенов ввода/вывода; поддерживается подключение через Claude API, Amazon Bedrock, Google Cloud Vertex AI и Microsoft Foundry.

Кроме того, Anthropic через Linux Foundation пожертвовала 2,5 миллиона долларов Alpha-Omega и 1,5 миллиона долларов OpenSSF, в общей сложности 4 миллиона долларов, чтобы поддержать поддерживающих open source в ответ на эту новую ситуацию. Поддерживающие open source могут подать заявку на доступ через проект Claude for Open Source.

План на ближайшее время

В части обмена информацией партнеры будут максимально обеспечивать взаимную совместимость информации и лучшие практики. Anthropic обязуется в течение 90 дней опубликовать отчет о прогрессе исследований. В нем будут указаны количество обнаруженных уязвимостей, решенные проблемы и улучшения, которые можно будет раскрыть.

В части рекомендаций по политике Anthropic будет сотрудничать с основными организациями по безопасности, чтобы сформировать практические рекомендации по следующим направлениям: процесс раскрытия уязвимостей, процесс обновления программного обеспечения, безопасность open source и цепочки поставок, жизненный цикл безопасной разработки ПО, стандарты для регулируемых отраслей, масштабирование и автоматизация классификации уязвимостей, автоматизация патчей.

Источник статьи: AI Ханьвэйцзи

Уведомление о рисках и условия отказа от ответственности

        На рынке есть риски, инвестируйте с осторожностью. Данная статья не является персональной инвестиционной рекомендацией и не учитывает особые инвестиционные цели, финансовое положение или потребности конкретных пользователей. Пользователям следует оценить, соответствуют ли любые мнения, взгляды или выводы в этой статье их конкретному положению. В связи с такими инвестициями ответственность несет сам инвестор.