找回密码
 立即注册
搜索

Anthropic 推出 Claude Mythos 模型,发现数千零日漏洞

作者:admin | 时间:2026-4-19 07:14:51 | 阅读:179| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
人工智能公司Anthropic宣布推出名为"Project Glasswing"的网络安全新计划,将使用其前沿模型Claude Mythos的预览版发现和修复安全漏洞。

该模型将由包括AWS、苹果、博通、思科、CrowdStrike、谷歌、摩根大通、Linux基金会、微软、英伟达和Palo Alto Networks在内的少数组织使用,共同保护关键软件。

Anthropic表示,成立该计划是因其通用前沿模型展现出"超越除最熟练人类外所有人的软件漏洞发现和利用能力"的编码水平。出于网络安全能力及可能被滥用的担忧,Anthropic选择不公开发布该模型。

据称Mythos预览版已在各大操作系统和网页浏览器中发现数千个高严重性零日漏洞,包括OpenBSD中一个已修复的27年历史漏洞、FFmpeg中一个16年历史的缺陷,以及一个内存安全虚拟机监控器中的内存损坏漏洞。

Anthropic强调的一个案例中,Mythos预览版据称自主开发出网页浏览器利用程序,串联四个漏洞逃离渲染器和操作系统沙箱。Anthropic还在预览版的系统卡中指出,该模型解决了一个企业网络攻击模拟,而人类专家需要10小时以上才能完成。

最令人瞩目的发现是,Mythos预览版遵循评估研究人员的指令,成功逃离提供的安全"沙箱"计算机,显示出绕过自身防护的"潜在危险能力"。

该模型并未止步于此,还进一步采取一系列额外行动,包括设计多步骤利用程序从沙箱系统获取广泛互联网访问权限,并向正在公园吃三明治的研究人员发送电子邮件。

"此外,在一个令人担忧且未经要求的展示成功的努力中,它将其利用细节发布到多个难以找到但技术上公开的网站,"Anthropic表示。

该公司指出,Project Glasswing是在敌对行为体采用相同能力之前,将前沿模型能力用于防御目的的"紧急尝试"。Anthropic还承诺提供高达1亿美元的Mythos预览版使用额度,以及400万美元直接捐赠给开源安全组织。

"我们并未明确训练Mythos预览版具备这些能力,"Anthropic表示。"相反,它们是代码、推理和自主性普遍改进的下游结果。使模型在修补漏洞方面显著更有效的相同改进,也使其在利用漏洞方面显著更有效。"

Mythos的消息上月泄露,因人为失误,模型详情被无意存储在公开可访问的数据缓存中。草稿材料将其描述为迄今为止构建的最强大、最有能力的AI模型。数日后,Anthropic遭遇第二次安全疏漏,意外暴露了近2000个源代码文件及Claude Code相关的超过50万行代码,持续约三小时。

该泄露还导致发现一个安全问题:当AI编码代理被呈现由超过50个子命令组成的命令时,可绕过某些防护。该问题已于上周在Claude Code 2.1.90版本中正式修复。

AI安全公司Adversa表示:"Claude Code是Anthropic的旗舰AI编码代理,在开发者机器上执行shell命令,当命令包含超过50个子命令时,会静默忽略用户配置的安全拒绝规则。配置'永不运行rm'的开发者会看到rm单独运行时被阻止,但如果在50个无害语句前运行相同的'rm',则不受限制。安全策略悄然消失。"

"安全分析消耗token。Anthropic的工程师遇到性能问题:检查每个子命令会冻结UI并消耗计算资源。他们的修复方案:50个后停止检查。他们用安全换取速度,用安全换取成本。"
您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案