Модель Anthropic Claude Mythos нашла 10 тысяч уязвимостей за месяц
Anthropic представила результаты проекта Project Glasswing. ИИ-модель Claude Mythos за один месяц обнаружила свыше 10 тысяч уязвимостей в корпоративном ПО. Это
Qu'est-ce que Project Glasswing?
Project Glasswing est une nouvelle initiative d'Anthropic lancée en avril de cette année. Le projet se concentre sur la recherche de vulnérabilités dans les logiciels d'entreprise à l'aide de l'intelligence artificielle. Au cœur du projet se trouve le modèle Claude Mythos Preview — une version avancée de Claude qui n'est pas encore largement accessible au public.
Le modèle est spécialement optimisé pour l'analyse de code et l'identification de problèmes de sécurité potentiels. Ce n'est pas simplement un outil pour trouver des modèles connus — Claude Mythos est capable de comprendre le contexte et d'identifier des problèmes plus subtils que les outils SAST traditionnels pourraient manquer. L'entreprise positionne le projet comme un moyen d'aider les partenaires à augmenter le niveau de sécurité de leurs produits.
Résultats Impressionnants
Au cours de son premier mois d'opération, Claude Mythos a aidé les partenaires d'Anthropic à identifier plus de 10 000 vulnérabilités. C'est un chiffre impressionnant. Pour comparaison : les méthodes traditionnelles de détection des vulnérabilités (analyse statique, examen manuel du code, tests de pénétration) nécessitent beaucoup plus de temps et de ressources.
Le modèle d'IA a géré cette tâche à une échelle qui semblait auparavant inatteignable pour les outils automatisés. Il est important de noter que la qualité des vulnérabilités trouvées reste au centre des préoccupations. Anthropic ne compte pas simplement les détections, mais vérifie la pertinence et la criticité de chaque problème identifié.
Cela signifie que le chiffre de 10 000 n'est pas un nombre de faux positifs, mais de véritables menaces potentielles nécessitant une attention.
Quelles Vulnérabilités Claude Trouve-t-il?
Le modèle Claude Mythos analyse le code source, recherche des modèles typiques de vulnérabilités et offre des solutions contextualisées. Son principal avantage est qu'il peut comprendre comment différentes parties d'un système interagissent et où les problèmes de sécurité peuvent survenir. Contrairement aux détecteurs basés sur des signatures, Claude fonctionne au niveau de la sémantique du code. Voici les principales catégories de vulnérabilités trouvées:
- Injection SQL, XSS et autres vulnérabilités classiques du OWASP Top 10
- Problèmes de gestion de la mémoire et débordement de buffer
- Implémentations cryptographiques faibles et utilisation incorrecte des fonctions cryptographiques
- Erreurs dans le contrôle d'accès et l'authentification
- Utilisation incorrecte de l'API et modèles non sécurisés des frameworks
Le modèle est capable d'analyser le code côté client et côté serveur, trouvant des problèmes à différents niveaux de l'architecture de l'application.
L'Avenir de l'IA en Cybersécurité
Les résultats de Project Glasswing démontrent le potentiel réel de l'IA dans la cybersécurité pratique. Lorsque les entreprises peuvent identifier rapidement des dizaines de milliers de vulnérabilités potentielles dans leurs logiciels, cela change fondamentalement l'approche des opérations de sécurité. Au lieu de recherche manuelle et de tests de pénétration coûteux, les organisations gagnent la capacité de mise à l'échelle des audits de sécurité.
Le modèle Claude Mythos est actuellement disponible pour un cercle restreint de partenaires d'Anthropic, mais les résultats du projet indiquent clairement la direction du développement de l'IA en cybersécurité. Il n'est pas difficile d'imaginer comment, dans les années à venir, les assistants d'IA deviendront une partie standard de tout outil de sécurité. Cela pourrait inverser l'approche du développement : au lieu de trouver des vulnérabilités après le lancement, les entreprises pourront les identifier au stade du développement.
Que Cela Signifie
Project Glasswing montre que l'IA est capable de mettre à l'échelle des solutions aux problèmes traditionnels de cybersécurité. Si les résultats se reproduisent de manière cohérente, cela pourrait être un tournant pour l'industrie, lorsque l'automatisation de la cybersécurité passe à un nouveau niveau.