Mythos Preview pracuje v agentním prostředí, kde analyzuje zdrojový kód v izolovaných kontejnerech, formuluje hypotézy, spouští software, využívá debuggery a generuje zprávy o nalezených zranitelnostech včetně proof-of-concept exploitů.
Na interním benchmarku zahrnujícím přibližně 7 000 vstupních bodů z open source repozitářů model dosáhl úplného převzetí řídicího toku (tier 5) na deseti plně záplatovaných cílech. Předchozí modely Sonnet 4.6 a Opus 4.6 uspěly v tomto testu vždy pouze jednou.
Celková míra úspěšnosti při generování funkčních exploitů dosahuje u Mythos Preview 72,4 procenta, zatímco u modelu Opus 4.6 se pohybuje těsně nad nulou. Ze 198 nálezů, které ověřili profesionální bezpečnostní kontraktoři, odpovídalo 89 procent hodnocení závažnosti přiřazenému modelem přesně a 98 procent se lišilo nejvýše o jeden stupeň.
Konkrétní nálezy
Mezi identifikovanými zranitelnostmi figurují kritické chyby v každém z hlavních operačních systémů a webových prohlížečů, slabiny v kryptografických knihovnách zahrnujících implementace TLS, AES-GCM a SSH, a také chyba umožňující přechod z hostovaného prostředí do hostitelského systému ve virtuálním monitoru.
Model dále odhalil 27 let starou denial-of-service zranitelnost v implementaci TCP SACK v OpenBSD — operačním systému, který je považován za jeden z nejbezpečnějších — a 16 let starou chybu ve FFmpeg, přestože nástroje pro statickou analýzu prošly tento kód více než pětmilion krát. Náklady na nalezení zranitelnosti v OpenBSD prostřednictvím přibližně tisíce spuštění nepřesáhly 20 000 dolarů.
Mythos Preview prokázal rovněž schopnost řetězit více zranitelností: v jednom z testovaných scénářů zřetězil čtyři chyby v prohlížeči a využil techniku JIT heap spray k úniku z renderovacího procesu i z karantény operačního systému.
U N-day zranitelností, tedy známých, ale dosud nezáplatovaných chyb, model úspěšně sestavil funkční exploit pro více než polovinu ze 40 vybraných CVE z let 2024 a 2025 v jádře Linuxu, přičemž některé řetězce dokončil za méně než jeden den s náklady pod 2 000 dolarů.
Omezená distribuce a projekt Glasswing
Anthropic se rozhodl Mythos Preview neuvolnit do obecného přístupu. Model je dostupný výhradně prostřednictvím iniciativy nazvané Project Glasswing, která sdružuje přibližně padesát partnerů z řad provozovatelů kritické infrastruktury. Mezi nimi figurují Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks.
Projekt zahrnuje dotaci ve výši 100 milionů dolarů v kreditech na využití modelu a čtyři miliony dolarů ve formě darů organizacím zaměřeným na bezpečnost open source softwaru. Partneři model využívají výhradně k defenzivnímu skenování vlastního i sdíleného kódu a výsledky sdílejí napříč odvětvím.
Anthropic ve svém systémovém dokumentu uvádí, že model byl záměrně zadržen z důvodu rizika zneužití. Schopnost autonomně generovat funkční exploity pro kritické zranitelnosti bez předchozí specializace na kybernetickou bezpečnost představuje kvalitativní posun, který zkracuje dobu potřebnou k sestavení útoku a snižuje odborné nároky na útočníka.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU