Anthropic рассказала о промежуточных результатах проекта по поиску уязвимостей в ПО с помощью модели Mythos: ИИ находит критические «дыры» быстрее, чем их успевают исправлять
За месяц партнёры компании обнаружили больше 10 тысяч багов с высокой или критической степенью опасности.
Схема обнаружения уязвимостей в открытом ПО. Источник: Anthropic
- В инициативе Project Glasswing участвуют около 50 компаний, которым Anthropic предоставила доступ к Mythos. Среди них — крупные игроки, разрабатывающие «системообразующее» для функционирования интернета и другой критической инфраструктуры ПО.
- По словам Anthropic, большинство участников проекта обнаружили сотни уязвимостей высокого или критического уровня опасности. Некоторые отметили, что скорость обнаружения ошибок выросла «более чем в десять раз».
- В частности Cloudflare выявила около 2000 уязвимостей в своих «критически важных» системах. Из них порядка 400 — с высоким или критическим уровнем опасности. В компании указали, что доля ложных срабатываний Mythos оказалась ниже, чем у тестировщиков-людей.
- Помимо этого, Anthropic в течение нескольких месяцев сканировала с помощью Mythos тысячи проектов с открытым исходным кодом, «которые лежат в основе значительной части интернета» и собственной инфраструктуры компании. Модель обнаружила в репозиториях около 23 тысяч уязвимостей, из них 6202 — с высоким или критическим уровнем опасности.
- Больше 1752 ошибок проверила «независимая исследовательская компания». Она подтвердила достоверность 90% (1587) из них, а 62% (1094) определила как баги с высокой или критической степенью опасности.
- При этом разработчики открытого ПО, которым Anthropic передала информацию, пока успели исправить только 75 критических уязвимостей. Сравнительная легкость обнаружения ошибок по сравнению со сложностью их устранения создаёт «серьёзную» проблему для кибербезопасности, указывает компания.
- На фоне Project Glasswing крупные игроки начали выпускать «существенно» больше обновлений с исправлениями ошибок, отмечает Anthropic. Microsoft сообщила, что число патчей «будет расти ещё некоторое время». А Oracle заявила, что находит и устраняет уязвимости в своих продуктах и облачных сервисах в несколько раз быстрее, чем раньше.