A Anthropic afirma que o modelo Claude Mythos detetou mais de 23 mil potenciais vulnerabilidades em projetos open-source, incluindo milhares de falhas críticas
|
A Anthropic revelou que o modelo de Inteligência Artificial (IA) Claude Mythos identificou mais de 23 mil potenciais vulnerabilidades em mais de mil projetos de software open-source (OSS), num dos maiores exercícios de deteção automatizada de falhas de segurança realizados até agora. De acordo com a SecurityWeek, a Anthropic indicou que cerca de 1.900 vulnerabilidades foram analisadas por empresas externas de cibersegurança e 1.726 foram confirmadas, incluindo mais de mil classificadas com gravidade “alta” ou “crítica”. A Anthropic estima que o número de falhas severas confirmadas possa atingir 3.900 com base nos resultados atuais, podendo ultrapassar 6.200 à medida que os processos de análise continuam. O projeto utiliza o modelo Claude Mythos Preview, desenvolvido especificamente para descoberta de vulnerabilidades em código. A empresa afirma já ter comunicado mais de 1.100 falhas ainda não verificadas aos respetivos fornecedores de software. Até ao momento, 75 vulnerabilidades críticas ou de elevada gravidade já foram corrigidas, originando 65 advisories de segurança publicados pelos fabricantes. Apesar disso, a Anthropic admite que o número de patches continua relativamente reduzido. Segundo a empresa, muitos projetos ainda se encontram dentro do período padrão de divulgação responsável de 90 dias, enquanto outros casos podem ser corrigidos sem publicação pública de advisories. “Mesmo ao ritmo relativamente lento das divulgações, o Mythos Preview está a aumentar a pressão sobre um ecossistema de segurança já sobrecarregado”, alerta a empresa. Como resposta ao crescimento da deteção automatizada de vulnerabilidades através de IA, a Anthropic lançou recentemente o Claude Security, uma plataforma destinada a analisar bases de código e identificar vulnerabilidades em aplicações. Grande parte das análises realizadas até agora focou-se em projetos open-source, embora cerca de 50 organizações já tenham acesso ao Mythos Preview através do programa Project Glasswing. A Anthropic afirma limitar o acesso devido ao risco potencial de utilização maliciosa da tecnologia. Entre as organizações que participaram nos testes está a Mozilla, que afirma ter identificado 271 vulnerabilidades no Firefox com apoio do modelo. A Palo Alto Networks refere igualmente ter descoberto dezenas de falhas através da ferramenta. O governo britânico também terá obtido resultados positivos durante os testes. A Google encontra-se entre as empresas com acesso ao sistema, embora não seja claro se o recente aumento de vulnerabilidades identificadas no Chrome resulta diretamente do Mythos ou de ferramentas internas da própria Google. Nem todos os testes produziram resultados expressivos. No caso do Curl, o Mythos encontrou apenas uma vulnerabilidade de baixa gravidade, levando alguns especialistas a questionar se o resultado demonstra limitações da IA ou simplesmente a maturidade do projeto open-source. A Anthropic reconhece que ainda não desenvolveu mecanismos de proteção suficientemente robustos para disponibilizar o Mythos de forma aberta, mas afirma estar a trabalhar para expandir gradualmente o acesso à tecnologia. |
Receba todas as novidades na sua caixa de correio!
