Anthropic оголосила про створення міфічної моделі: Claude Mythos, яка перевершує кодерські та хакерські навички opus4.6 і не доступна для публіки!

Anthropic сьогодні оголосила план: Project Glasswing (проект «Скляне крило»). Причина, через яку вони запустили цей план, полягає в тому, що Anthropic навчила абсолютно нову надпотужну модель Claude Mythos Preview — насправді це та сама модель, про яку згадувалося в витоках коду cc напередодні.

У проєкті беруть участь сторони, зокрема Amazon AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks та сам Anthropic — разом 12 інституцій, які ініціювали це спільно.

Якщо говорити просто: оскільки ця модель надто потужна, її переводять у режим безпекового тестування, надають лише схваленим інституціям для внутрішнього використання, і не відкривають для загального доступу. Наскільки вона потужна — дивіться напряму на дані: код і можливості міркування б’ють opus 4.6:

Код:

Міркування:

Пошук і використання комп’ютера

Opus буквально означає «шедевр», Mythos буквально означає «міф», і генеральний директор Anthropic, а також ціла низка партнерів і поважних осіб вийшли підтримати цей проєкт.

Anthropic чітко заявила, що не планує відкривати Claude Mythos Preview для публіки. Але довгострокова мета — дати користувачам змогу безпечно використовувати моделі з таким самим рівнем можливостей. Для цього вони планують спершу розробити й перевірити відповідні механізми безпеки на нещодавно анонсованій моделі Claude Opus, завершити ітерації за умов, де ризики контрольовані, а далі поступово просуватися — можливо, дуже скоро вони випустять нову версію opus, яка надасть відповідні можливості.

Давайте детально розглянемо, що саме таке Project Glasswing

Що виявила ця модель?

Протягом останніх кількох тижнів Anthropic за допомогою Claude Mythos Preview сканувала провідні операційні системи, браузери та інше важливе програмне забезпечення у світі.

Результат: виявлено тисячі раніше невідомих нульових dayраз вразливостей, при цьому значна їх частина була оцінена як високоризикована.

Кілька конкретних прикладів:

У OpenBSD — вразливість, що існувала 27 років. OpenBSD відомі своєю безпекою й використовується для запуску таких критично важливих інфраструктур, як брандмауери. Ця вразливість дозволяє зловмиснику лише шляхом підключення до цільової машини спричинити її віддалене аварійне завершення.

У FFmpeg — вразливість, що існувала 16 років. FFmpeg використовують безліч програм для відео-кодеків і декодеків. Рядок коду, який модель знайшла як вразливий, раніше вже сканували автоматизовані тестові інструменти 5 мільйонів разів — але його так і не було виявлено.

У ядрі Linux модель автономно виявила й «з’єднала» кілька вразливостей так, що атакувальник міг підвищити свої привілеї з рівня звичайного користувача до повного контролю над усією машиною.

Усі ці вразливості вже повідомлено відповідним підтримувачам програмного забезпечення, і наразі їх повністю виправлено. Інші вразливості Anthropic заздалегідь оприлюднила у вигляді зашифрованих хеш-значень: після завершення виправлень вони оприлюднять конкретні деталі.

Навіщо робити це?

Оцінка Anthropic така: можливості AI щодо виявлення й використання програмних вразливостей уже перевищили можливості всіх, окрім кількох найтоповіших людських експертів.

Поширення таких здібностей — питання часу, а не питання того, чи станеться це.

Економічні збитки від глобальної кіберзлочинності щороку оцінюють приблизно в 500 мільярдів доларів США. Атаки на медичні системи, енергетичну інфраструктуру та державні установи вже спричинили відчутну шкоду й також створюють постійну загрозу для цивільної та військової інфраструктури.

AI суттєво знижує вартість, поріг і рівень професійної підготовки, необхідні для здійснення таких атак.

Логіка Anthropic така: замість того, щоб чекати, поки хтось інший використає ці можливості для наступу, краще використати їх проактивно для оборони.

Як саме працює план?

Project Glasswing наразі складається з двох рівнів.

Перший рівень — це 12 партнерів-засновників: вони отримають доступ до Claude Mythos Preview для сканування та виправлення вразливостей у власних ключових системах. Основні напрямки включають локальне виявлення вразливостей, бінарне тестування «чорної скриньки», безпеку кінцевих точок, пентест (penetration testing) тощо.

Другий рівень — ще понад 40 організацій, які створюють або підтримують критично важливу інфраструктуру програмного забезпечення. Вони так само отримають доступ до моделі для сканування власних і open source систем.

Anthropic зобов’язується надати максимальний ліміт використання моделі в розмірі до 100 мільйонів доларів США. Після завершення дослідницького періоду попереднього перегляду Claude Mythos Preview буде надаватися учасникам для комерційного доступу; ціна становитиме 25/125 доларів США за кожен мільйон вхідних/вихідних token, а також підтримуватиметься інтеграція через Claude API, Amazon Bedrock, Google Cloud Vertex AI та Microsoft Foundry.

Крім того, Anthropic через Linux Foundation пожертвує 2,5 мільйона доларів США Alpha-Omega та 1,5 мільйона доларів США OpenSSF; загалом — 4 мільйони доларів США. Ці кошти спрямовано на підтримку підтримувачів open source програмного забезпечення для протидії цій новій ситуації. Підтримувачі open source програмного забезпечення можуть подати заявку на отримання доступу через проєкт Claude for Open Source.

Наступні кроки

У частині обміну інформацією партнери максимально обмінюватимуться інформацією та найкращими практиками. Anthropic зобов’язується протягом 90 днів опублікувати звіт про прогрес досліджень, який міститиме кількість виявлених вразливостей, проблеми, які вже виправлено, а також результати поліпшень, які можна розкривати.

У частині рекомендацій щодо політик Anthropic співпрацюватиме з основними організаціями з безпеки, щоб сформувати практичні рекомендації щодо таких напрямів: процес розкриття вразливостей, процес оновлення програмного забезпечення, безпека open source та ланцюга постачання, життєвий цикл розробки безпечного програмного забезпечення, стандарти для регульованих галузей, масштабування й автоматизація класифікації вразливостей, автоматизація патчів.

Джерело статті: AI-єдиноріг

Попередження про ризики та застереження про відповідальність

        Існують ризики на ринку, інвестуйте обережно. Ця стаття не є персональною інвестиційною порадою та не враховує особливі інвестиційні цілі, фінансовий стан чи потреби окремих користувачів. Користувачі мають оцінити, чи відповідають будь-які думки, погляди або висновки в цій статті їхньому конкретному становищу. Відповідно до цього інвестування — відповідальність на вас.