The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

23.05.2026 18:56 (MSK)

Компания Anthropic подвела первые итоги тестирования предварительного варианта AI-модели Mythos, в которой были существенно расширены возможности по поиску ошибок, выявлению уязвимостей и написанию готовых эксплоитов. Компания Anthropic при помощи AI-модели Mythos провела сканирование более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей. 6202 уязвимостям был назначен высокий или критический уровень опасности.

1752 из 6202 уязвимостей, отнесённых AI-моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 случаях (90.6%) наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился высокий или критический уровень опасности. При текущих показателях ложных срабатываний предполагается, что из 6202 заявленных AI-моделью опасных уязвимостей примерно 3900 (62.4%) сохранят выбранный моделью высокий уровень опасности, не считая опасных уязвимостей найденных отдельно при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. По отдельным запросам сотрудники Anthropic напрямую передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие 281 открытого проекта получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участников проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявили в своих кодовых базах более 10 тысяч опасных уязвимостей. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла при помощи Mythos 271 уязвимость, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

В качестве примера уже исправленной критической проблемы приводится уязвимость (CVE-2026-5194) в криптографической библиотеке wolfSSL. Mythos смог подготовить эксплоит, позволяющий атакующему сформировать поддельный ECDSA-ртификат для сайтов и почтовых серверов, который при проверке библиотекой wolfSSL обрабатывался как корректный. Проблема была вызвана отсутствием в коде проверки размера хэша и OID, что позволяло указать в сертификате хэш, размером меньше допустимого.

  1. Главная ссылка к новости (https://www.anthropic.com/rese...)
  2. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
  3. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
  4. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
  5. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
  6. OpenNews: Линус Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи AI
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65515-mythos
Ключевые слова: mythos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:31, 23/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.3, Sadok (ok), 19:36, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Вскрытие показало, что чукча умер от вскрытия
     
  • 1.4, Аноним (4), 19:53, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А что так мало? Подозрительно. Сколько новых бэкдоров пропихнули под предлогом исправлений?
     
     
  • 2.38, Аноним (38), 21:11, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Сейчас бы еще рейтинг языков программирования по этим уязвимостям дали.
     

  • 1.5, Анонимище (?), 19:53, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Теперь увидим готовы ли люди к миру где тыща глаз это реальность
     
     
  • 2.7, Аноним (4), 19:56, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Прикол в том, что проприетарь фактически ещё проще анализировать. Там чисто механическая работа по выявлению уязвимостей.
     
     
  • 3.9, Ангоним (?), 20:05, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Тут не понял, а в чем отличие-то? Почему проприетарь проще анализировать, чем не проприетарь?
     
     
  • 4.34, Аноним (34), 20:52, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Нету любителей попрыгать с кок.мд и прочими цветными волосами на подмышках
     
  • 3.15, Аноним83 (?), 20:20, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Давай, загрузи исходники венды и покажи результат.
     
     
  • 4.19, Аноним (19), 20:25, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    100 AI-агентов нашли 16 уязвимостей:
    https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-m
     
  • 3.27, Аноним (1), 20:35, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Для ручного или AI-assisted анализа - может быть. А для полностью автоматизированного - нет ничего проще, чем клонировать репозиторий опенсорсной софтины, запустить туда достаточно мощную LLM-ку и сказать ей "ищи".
     

  • 1.6, Rev (ok), 19:55, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей

    Ну всего по 23 критических уязвимости на проект в среднем, не так уж и страшно ;)))

     
     
  • 2.11, Ангоним (?), 20:07, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Я на обед ем капусту, мой сосед ест котлеты, а в среднем мы с ним едим голубцы.
     

  • 1.8, Аноним (8), 20:03, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > выпущено 88 публичных отчётов об уязвимостях.

    И по ссылке:

    > heap-buffer-overflow
    > heap-buffer-overflow
    > heap-buffer-overflow
    > heap-buffer-overflow

    ...и так еще несколько дюжин раз. 🤦 Уагадайте с одного раза, что за язык?

    Слава богу, хоть благодаря ИИ закончится это бесконечный поток сишочных вулнов. Ибо более 50 лет истории показали, что даже самим компетентным сишочникам, обмазанными анализаторами, не под силу писать недырявый код на этом недоязыке.

     
     
  • 2.12, Аноним (12), 20:09, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Как будто на ржавчине переполнение не сделать.
     
     
  • 3.33, Аноним (-), 20:50, 23/05/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.13, Аноним (13), 20:14, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    А зачем тогда нужен Rust, если ИИ исправит ошибки в С?
     
     
  • 3.17, Аноним (17), 20:21, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Зачем нужны ноги, когда есть инвалидная коляска?
     
  • 3.36, Аноним (36), 21:09, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    чтобы не гонять иишницу на каждый новый коммит
     
  • 3.39, Аноним (-), 21:19, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что современные мейнстримовые LLM являются пробалистическими... Гораздо лучше создать условия, в которых ошибка не может быть допущена (и туда уже хоть человека, хоть LLM поместить), нежели надеяться на подобие лотереи.

     
  • 2.16, Аноним83 (?), 20:20, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, закончится, и другие языки не нужны снова :)
     
     
  • 3.31, Аноним (-), 20:45, 23/05/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.35, Alex (??), 21:07, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Чел с памятью курицы. Либо у челов из секты раста зомбирование. Либо это клиническое. Только совсем недавно кучу уязвимостей нашли в RUST coreutils. Вообще странно если чел зомбирован растом. Никак не хочет очевидные вещи смотреть.
     

  • 1.10, dddd (?), 20:07, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну выделил и выделил, а можно было начать использовать статический анализатор и т.д.

    Низковисящие фрукты скоро кончатся и будет очередная нейрохерота.

     
     
  • 2.14, Аноним (17), 20:16, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Линух сканили множеством статических анализаторов, в том числе платных/проприетарных. Сильно помогло?
     
     
  • 3.21, Аноним83 (?), 20:26, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Сильно.
    Вы же не видите прогресса, только такие новости.

    У меня на работе есть легаси продукт, я его последовательно причёсывал года 4 с помощью статических анализаторов, потом валгриндом, потом асан, потом сами компиляторы стали больше набрасывать.
    Удалось вычистить ОЧЕНЬ много всего.
    А для стороннего наблюдателя как бы особо ничего и не изменилось, в новосятх об этом никто не писал что за один прогон cppcheck было закомичено 1000500 исправлений всякого и тп.

    Тоже самое и со всяким опенсорцем, там тоже за последние годы многое вычистили просто никому в новостях не писали, и оно где то перестало падать, гдето работать быстрее стало.
    Я вообще перестал видеть корки от программ - ничего не падает практически.
    Ещё лет 10 назад периодически что то валилось, а 15+ назад так падало постоянно.

    То что вылизывают с помощью ИИ - это по сути то что уже никак не проявлялось.

     
  • 2.28, Аноним (1), 20:39, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Разговоры про статические анализаторы идут с 90-х годов, а буферы как переполняли, так и переполняют
     

  • 1.20, Аноним (20), 20:26, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Всё пропало! Нам всем конец!
    Шучу. Пишешь helloword, пропускаешь через ИИ - и он находится 13 опасных уязвимостей!
     
     
  • 2.32, Аноним (19), 20:50, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Берите открытую модель и проверяйте:
    https://opennet.ru/65005-mistral
     

  • 1.22, Аноним (22), 20:29, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    очень надеюсь что Microsoft тоже предпринимает действия по анализу кода с помощью AI. Мы же помним как в один момент стали доступны исходные коды на Windows разных версий. Это должен был кто-то сказать.
     
  • 1.25, Аноним (25), 20:33, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    А уже есть языки программирования, созданные AI, чтобы криворукие программисты реже писали код с уязвимостями?
     
  • 1.26, Сладкая булочка (?), 20:34, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Еще не появилось аналогичных открытых моделей?
     
     
  • 2.29, Аноним (19), 20:39, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    И вряд ли появится т.к. создание и обучение там явно намного дороже:
    - https://servernews.ru/1142182
    - https://servernews.ru/1139560
     
     
  • 3.37, Аноним (1), 21:09, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Инференс больших моделей тоже дорогое удовольствие. Причем для нормальной скорости нужна видеопамять, а не оперативка
     
  • 2.30, Аноним (1), 20:41, 23/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Как Mythos? У нас даже аналога Claude Opus открытого нет, а эта Mythos в узкой специализации (кодинге) мощнее опуса в разы
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру