Anthropicは、Claude Mythosモデルが1,000以上のオープンソースソフトウェア(OSS)プロジェクト全体で数千件の深刻な脆弱性を発見したと述べています。
AI大手によると、Mythos Previewは23,000件以上の潜在的な脆弱性を特定しました。このうち1,900件は外部のセキュリティ企業によってレビューされ、1,726件が確認されており、1,000件以上が「高」または「重大」の深刻度と評価されています。
調査結果はまだ審査中であり、Anthropicは現在の調査結果に基づいて、約3,900件の重大および高深刻度の脆弱性が確認されると推定しています。スキャンが継続中であるため、同社は深刻な脆弱性の数が6,200件に達する可能性があると考えています。
Anthropicは、1,100件以上の未検証の知見がベンダーに報告されており、深刻度が高いまたは重大の問題75件がパッチされたと述べています。ベンダーは65件のセキュリティアドバイザリを公開しています。
「パッチの数が依然として比較的少ない理由は3つあります。1つ目は、当社の調整済みの脆弱性開示ポリシーで設定された90日間のウィンドウの初期段階であるためです。多くのパッチがすぐに提供されることを期待しています」とAI企業は説明しました。
「2つ目に、公開アドバイザリなしにパッチされる脆弱性もあるため、パッチをカウント下げている可能性があります。その場合、Claudeを使用してパッチを自分たちでスキャンすることに依存しています。3つ目に、パッチ量が少ないことは真の問題を反映しています。当社の比較的遅いペースの開示であっても、Mythos Previewは既に過負荷のセキュリティエコシステムに追加されています」と付け加えました。
AI駆動の脆弱性発見の急増に対応して、Anthropicは最近Claude Securityを公開しました。これは開発者がアプリケーション内のセキュリティ問題を見つけるのに役立つように設計されたコードベーススキャナです。
Project Glasswingの参加者からのMythosテスト結果
Anthropicの新しいレポートで説明されている脆弱性はOSSプロジェクトに限定されており、スキャンの多くはAI企業自体により実施されました。
約50の組織がProject Glasswingを通じてMythos Previewにアクセスできます。Anthropicはより広いアクセスがモデルの悪用につながる可能性があることを懸念しています。これらの組織の何社かがテスト後に優れた結果を公開しています。
Mozillaは271個のFirefox脆弱性を発見し、MythosはPalo Alto Networksが多くの欠陥を見つけるのに役立っています。
Anthropicは、自動攻撃的セキュリティ企業XBOWによって実施されたテストも引用しており、Mythosが脆弱性発見に有効であることが判明しました。英国政府も良好な結果を見ています。
Googleもアクセスが与えられていますが、最近のChrome脆弱性検出の増加がMythosが原因かどうか、Googleの独自のAIツール、またはその両方かは不明です。
他の企業は結果に感銘を受けませんでした。Mythosはカールで低深刻度の脆弱性を1つだけ見つけ、専門家はそれがAIモデルの失敗であるか、オープンソースデータ転送ツールの成熟性の証であるかについて議論しています。
Anthropicは、Mythosの悪用を防ぐための十分に強力なセーフガードをまだ開発していないと述べていますが、同社はProject Glasswindにさらに多くの組織を追加することに取り組んでおり、近い将来このクラスのモデルを一般的に利用可能にすることを望んでいます。
