Claude Mythos ha trovato oltre 10.000 vulnerabilità

Anthropic ha pubblicato un primo aggiornamento su Project Glasswing, l’iniziativa avviata all’inizio di aprile con il coinvolgimento di circa 50 partner. In circa un mese, Claude Mythos ha trovato oltre 10.000 vulnerabilità di gravità alta e critica in molti software importanti. Il potente modello AI sarà presto accessibile a più partner, ma non è previsto il rilascio pubblico.

Troppe vulnerabilità da risolvere in poco tempo

Anthropic ricorda una convenzione che esiste da anni nel settore. I dettagli sulle vulnerabilità vengono pubblicati 90 giorni dopo la loro scoperta oppure 45 giorni dopo il rilascio della patch. Ciò consente agli utenti di aggiornare il software prima che una vulnerabilità venga sfruttata dai cybercriminali.

Claude Mythos e altri modelli AI hanno tuttavia permesso di trovare più vulnerabilità in meno tempo, come ha evidenziato anche Microsoft. I suddetti 90 giorni non sono più sufficienti perché è praticamente impossibile verificare tutte le vulnerabilità e scrivere le patch. Anthropic non pubblicherà quindi i dettagli fino all’ampia diffusione delle patch (che potrebbe richiedere oltre 90 giorni).

In circa un mese, il nuovo modello AI ha individuato oltre 10.000 vulnerabilità di gravità alta e critica. Mozilla ne ha trovate 271 (risolte con Firefox 150), mentre Cloudflare ne ha trovate circa 2.000 con una percentuale molto bassa di falsi positivi.

Claude Mythos ha permesso anche di rilevare e bloccare il trasferimento di 1,5 milioni di dollari dal conto di un cliente di una banca. Anthropic ha invece usato il suo modello per analizzare il codice di oltre 1.000 progetti open source. Sono state trovate oltre 23.000 vulnerabilità (circa 6.200 di gravità alta e critica).

Il numero di patch è tuttavia molto basso (meno di 100) perché chi gestisce questi progetti non ha le risorse delle grandi aziende. Anthropic consiglia agli sviluppatori di usare i tool AI pubblicamente disponibili, come Claude Security, per velocizzare la scrittura delle patch. Ovviamente è necessario che i software vengano aggiornati nel minor tempo possibile.

Claude Mythos è troppo potente per essere rilasciato a tutti. Verranno però aggiunti nuovi partner al Project Glasswing (aziende, organizzazioni e governi). Da alcuni giorni, i dettagli sulle vulnerabilità trovate dal modello possono essere condivisi tra i partner. Ciò velocizzerà il rilascio delle patch e quindi migliorerà la sicurezza dei software.