吳明宜Anthropic 表示,自 Claude Mythos 模型推出以來,已替上千個開原碼軟體 (OSS) 專案找出超過 2 萬個漏洞,其中包含數千個高風險漏洞。
Anthropic 於今年 4 月以預覽版形式推出 Claude Mythos,用於掃描開原碼軟體漏洞。該公司表示,將依循漏洞揭露慣例,在通報開發團隊 90 天後,與相關業者共同發布漏洞公告。
Anthropic 指出,目前已發現約 2.3 萬個漏洞,其中 1,900 項已由外部資安廠商協助檢視,當中 1,726 項被確認為有效漏洞,超過 1,000 項屬於「高」或「重大」風險等級。
Anthropic 表示,目前漏洞驗證與修補流程仍在進行中。尚未完成驗證的 1,100 多項發現已陸續通報給相關業者,其中已有 75 項高或重大風險漏洞完成修補,相關開發團隊也已發布 65 份安全公告。
不過 Anthropic 認為,實際完成修補的漏洞數量可能被低估,原因在於部分漏洞是 Claude 自行撰寫修補程式碼後直接修正,未經正式公告。 Anthropic 估計,最終被確認為高或重大風險的漏洞數量,可能接近 6,200 項。
Anthropic 指出,即使目前公開修補的漏洞數量仍有限,但 Claude Mythos 已顯示出可協助資安團隊減輕工作負擔的潛力,尤其在漏洞挖掘與初步分析方面。
Project Glasswing 測試結果
Anthropic 表示,這份最新報告主要聚焦於 OSS 漏洞掃描成果,多數漏洞由該公司自行完成掃描與分析。
在上個月啟動的 Project Glasswing 計畫中,Anthropic 將 Mythos 提供給特定資安合作夥伴,用於尋找軟體漏洞。由於 Anthropic 擔心高能力漏洞研究工具遭濫用,因此僅有 50 多家組織獲得測試資格。
Mozilla 表示,透過 Mythos 在 Firefox 中找到 271 項漏洞;Palo Alto Networks 則發現數十項漏洞。英國政府也表示,已利用 Mythos 提升內部安全團隊的工作效率。
Google 同樣是 Project Glasswing 參與成員之一。不過近期 Chrome 修補漏洞數量增加,是否與使用 Mythos 有關,目前尚未獲得證實。
另一方面,也有部分業者對 Mythos 的效果持保留態度。例如 Mythos 在 Curl 專案中僅發現一項低嚴重性漏洞,引發外界討論,究竟是 Mythos 偵測能力有限,或是測試使用的開原資料傳輸工具本身特性所致。
Anthropic 表示,目前正持續建立安全防護機制,以降低 Mythos 遭不當利用的風險,同時計畫未來開放更多組織參與 Project Glasswing,並希望能盡快將 Claude Mythos 正式推向市場。
來源: SecurityWeek