Anthropic：Mythos 在 1,000 个开源项目中检测到 23,000 个潜在漏洞

Anthropic 表示，其 Claude Mythos 模型在超过 1,000 个开源软件（OSS）项目中发现了数千个严重漏洞。

据这家 AI 巨头称，Mythos Preview 已识别出超过 23,000 个潜在漏洞。其中，1,900 个已由外部安全公司审查，1,726 个已被确认，包括超过 1,000 个被评为“高危”或“严重”级别的漏洞。

这些发现仍在审查中，Anthropic 估计仅基于当前结果，将有近 3,900 个严重和高危漏洞被确认。随着扫描的持续进行，该公司认为严重漏洞的数量可能达到 6,200 个。

Anthropic 表示，已向供应商报告了超过 1,100 个未经验证的发现，75 个严重或高危级别的问题已得到修补。供应商已发布了 65 份安全公告。

该 AI 公司解释道：“补丁数量仍然相对较低有三个原因。首先，我们仍处于协调漏洞披露政策规定的 90 天窗口期的早期阶段：我们预计很快会有更多补丁发布。”

“其次，我们可能低估了补丁数量，因为某些漏洞在没有公开公告的情况下就被修补了：在这些情况下，我们依赖使用 Claude 自行扫描补丁。第三，补丁数量少反映了一个实际问题：即使我们以相对较慢的速度披露漏洞，Mythos Preview 也在给已经超负荷的安全生态系统增加负担。”

为应对 AI 驱动的漏洞发现激增，Anthropic 最近推出了 Claude Security，这是一款代码库扫描器，旨在帮助开发者发现其应用程序中的安全问题。

Anthropic 新报告中描述的漏洞仅限于 OSS 项目，大部分扫描由该 AI 公司自行进行。

大约 50 个组织通过 Project Glasswing 获得了 Mythos Preview 的访问权限——Anthropic 担心更广泛的访问可能导致该模型被滥用——其中几个组织在测试后披露了良好的结果。

Mozilla 报告称发现了 271 个 Firefox 漏洞，Mythos 还帮助 Palo Alto Networks 发现了数十个缺陷。

Anthropic 还引用了自主进攻性安全公司 XBOW 进行的测试，该测试发现 Mythos 在漏洞发现方面非常强大。英国政府也取得了良好的结果。

Google 也获得了访问权限，但目前尚不清楚近期 Chrome 漏洞检测数量的激增是由于 Mythos、该公司自己的 AI 工具，还是两者共同作用的结果。

其他组织对结果并不满意。Mythos 在 Curl 中仅发现了一个低危漏洞，专家们正在争论这是 AI 模型的失败，还是证明了该开源数据传输工具的成熟度。

Anthropic 表示，其尚未开发出足够强大的防护措施来防止 Mythos 被滥用，但该公司正努力将更多组织加入 Project Glasswing，并希望在未来不久使此类模型普遍可用。