При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

23.05.2026 18:56 (MSK)

Компания Anthropic подвела первые итоги тестирования предварительного варианта AI-модели Mythos, в которой были существенно расширены возможности по поиску ошибок, выявлению уязвимостей и написанию готовых эксплоитов. Компания Anthropic при помощи AI-модели Mythos провела сканирование более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей. 6202 уязвимостям был назначен высокий или критический уровень опасности.

1752 из 6202 уязвимостей, отнесённых AI-моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 случаях (90.6%) наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился высокий или критический уровень опасности. При текущих показателях ложных срабатываний предполагается, что из 6202 заявленных AI-моделью опасных уязвимостей примерно 3900 (62.4%) сохранят выбранный моделью высокий уровень опасности, не считая опасных уязвимостей найденных отдельно при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. По отдельным запросам сотрудники Anthropic напрямую передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие 281 открытого проекта получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участников проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявили в своих кодовых базах более 10 тысяч опасных уязвимостей. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла при помощи Mythos 271 уязвимость, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

В качестве примера уже исправленной критической проблемы приводится уязвимость (CVE-2026-5194) в криптографической библиотеке wolfSSL. Mythos смог подготовить эксплоит, позволяющий атакующему сформировать поддельный ECDSA-сертификат для сайтов и почтовых серверов, который при проверке библиотекой wolfSSL обрабатывался как корректный. Проблема была вызвана отсутствием в коде проверки размера хэша и OID, что позволяло указать в сертификате хэш, размером меньше допустимого.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65515-mythos

Ключевые слова: mythos

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (59)

1.1, Аноним (1), 19:31, 23/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–

1.3, Sadok (ok), 19:36, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Вскрытие показало, что чукча умер от вскрытия

2.52, Bottle (?), 22:10, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Мне больше нравится вариант из Warcraft 3: "Вскрытие показало, что пациент спал".

1.4, Аноним (4), 19:53, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что так мало? Подозрительно. Сколько новых бэкдоров пропихнули под предлогом исправлений?

2.38, Аноним (38), 21:11, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Сейчас бы еще рейтинг языков программирования по этим уязвимостям дали.

1.5, Анонимище (?), 19:53, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Теперь увидим готовы ли люди к миру где тыща глаз это реальность

2.7, Аноним (4), 19:56, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Прикол в том, что проприетарь фактически ещё проще анализировать. Там чисто механическая работа по выявлению уязвимостей.

3.9, Ангоним (?), 20:05, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Тут не понял, а в чем отличие-то? Почему проприетарь проще анализировать, чем не проприетарь?

4.34, Аноним (34), 20:52, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Нету любителей попрыгать с кок.мд и прочими цветными волосами на подмышках

3.15, Аноним83 (?), 20:20, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Давай, загрузи исходники венды и покажи результат.

4.19, Аноним (19), 20:25, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
100 AI-агентов нашли 16 уязвимостей: https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-m

5.48, Аноним83 (?), 21:39, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Не верю! 1. Кодовая база там огромная, поверхность тоже огромная. 2. Могли и не раскрыть ничего.

3.27, Аноним (1), 20:35, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Для ручного или AI-assisted анализа - может быть. А для полностью автоматизированного - нет ничего проще, чем клонировать репозиторий опенсорсной софтины, запустить туда достаточно мощную LLM-ку и сказать ей "ищи".

1.6, Rev (ok), 19:55, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> более тысячи важных открытых проектов, в ходе которого было выявлено 23019 уязвимостей Ну всего по 23 критических уязвимости на проект в среднем, не так уж и страшно ;)))

2.11, Ангоним (?), 20:07, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Я на обед ем капусту, мой сосед ест котлеты, а в среднем мы с ним едим голубцы.

1.8, Аноним (8), 20:03, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

> выпущено 88 публичных отчётов об уязвимостях.

И по ссылке:

> heap-buffer-overflow
> heap-buffer-overflow
> heap-buffer-overflow
> heap-buffer-overflow

...и так еще несколько дюжин раз. 🤦 Уагадайте с одного раза, что за язык?

Слава богу, хоть благодаря ИИ закончится это бесконечный поток сишочных вулнов. Ибо более 50 лет истории показали, что даже самим компетентным сишочникам, обмазанными анализаторами, не под силу писать недырявый код на этом недоязыке.

2.12, Аноним (12), 20:09, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Как будто на ржавчине переполнение не сделать.

3.33, Аноним (-), 20:50, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Конечно, можно сделать. Но есть нюанс.

2.13, Аноним (13), 20:14, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
А зачем тогда нужен Rust, если ИИ исправит ошибки в С?

3.17, Аноним (17), 20:21, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Зачем нужны ноги, когда есть инвалидная коляска?

4.51, Tron is Whistling (?), 22:07, 23/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Вот в этом-то и дело. Раст - это как раз та самая инвалидная коляска для нежелающих на ноги вставать - споткнуться же можно, упасть там.

3.36, Аноним (36), 21:09, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
чтобы не гонять иишницу на каждый новый коммит

4.63, Аноним (8), 23:15, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
У местны сейчас натурально когнитивный диссонанс: нужно и против ИИ воевать, и сишочку защищать. Но ведь теперь, оказалось, что ИИ - это спасение сишочки! Как же теперь быть опеннетным экспертам?..

3.39, Аноним (-), 21:19, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Потому что современные мейнстримовые LLM являются пробалистическими... Гораздо лучше создать условия, в которых ошибка не может быть допущена (и туда уже хоть человека, хоть LLM поместить), нежели надеяться на подобие лотереи.

2.16, Аноним83 (?), 20:20, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Да, закончится, и другие языки не нужны снова :)

3.31, Аноним (-), 20:45, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Хороший план, Ваня83. Будешь продолжать бракоделить, и пускай Anthropic подтирает за тобой сопли.

2.35, Alex (??), 21:07, 23/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Чел с памятью курицы. Либо у челов из секты раста зомбирование. Либо это клиническое. Только совсем недавно кучу уязвимостей нашли в RUST coreutils. Вообще странно если чел зомбирован растом. Никак не хочет очевидные вещи смотреть.

3.47, Rev (ok), 21:33, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
И эти уязвимости НИКАК не связаны с переполнением буферов, use-after-free и тому подобным. Просто ошибки в бизнес-логике.

4.54, Аноним (8), 22:44, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
>> кучу уязвимостей нашли в RUST coreutils > И эти уязвимости НИКАК не связаны с переполнением буферов, use-after-free и тому подобным. Этим бесполезно объяснять. Каждый раст в новости об очередных сишочных дыренях всплывает персонаж с упоминанием растовых coreutils.

1.10, dddd (?), 20:07, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Ну выделил и выделил, а можно было начать использовать статический анализатор и т.д. Низковисящие фрукты скоро кончатся и будет очередная нейрохерота.

2.14, Аноним (17), 20:16, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Линух сканили множеством статических анализаторов, в том числе платных/проприетарных. Сильно помогло?

3.21, Аноним83 (?), 20:26, 23/05/2026 [^] [^^] [^^^] [ответить]

+2 +/–

Сильно.
Вы же не видите прогресса, только такие новости.

У меня на работе есть легаси продукт, я его последовательно причёсывал года 4 с помощью статических анализаторов, потом валгриндом, потом асан, потом сами компиляторы стали больше набрасывать.
Удалось вычистить ОЧЕНЬ много всего.
А для стороннего наблюдателя как бы особо ничего и не изменилось, в новосятх об этом никто не писал что за один прогон cppcheck было закомичено 1000500 исправлений всякого и тп.

Тоже самое и со всяким опенсорцем, там тоже за последние годы многое вычистили просто никому в новостях не писали, и оно где то перестало падать, гдето работать быстрее стало.
Я вообще перестал видеть корки от программ - ничего не падает практически.
Ещё лет 10 назад периодически что то валилось, а 15+ назад так падало постоянно.

То что вылизывают с помощью ИИ - это по сути то что уже никак не проявлялось.

4.41, Аноним (-), 21:22, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
> У меня на работе есть легаси продукт, я его последовательно причёсывал года 4 с помощью статических анализаторов, потом валгриндом, потом асан, потом сами компиляторы стали больше набрасывать. Не проще ли с самого начала использовать инструменты, которые этого не допускают? Подобного рода прдлнг явно отнимает гораздо больше времени в долгосрочной перспективе.

5.56, Аноним83 (?), 22:59, 23/05/2026 [^] [^^] [^^^] [ответить]

–1 +/–

1. Не проще. Раст тормозной, громоздкий и не удобный язык который имеет много ограничений.
2. Много кода написано на С, ещё тогда когда даже крестов не было.
3. Уже и повода раст юзать нет - инструменты вокруг С позволяют избавится от всех проблем.

Я уже писал, что гораздо эффективнее во всех планах налабать работающую прогу и уже потом прочекать её всеми инструментами, чем на изменение каждой строчки ждать прохождения всех проверок компелятора.

Конкретно тот продукт рос аж с 1996 года, основная часть была году в 2010-2012 написана, когда никакого раста не было а его авторы в садик ходили.
А его опенсорсный форк (не этого продукта, а его кодовой базы/части) на раст до сих пор никто переписывать не собирается, не смотря на то что он наверное в 90% линуксовых дистров есть.

6.61, Аноним (8), 23:10, 23/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Не проще. Раст тормозной, громоздкий и не удобный язык который имеет много ограничений.

Откуда тебе знать о его неудобстве и "многих ограничениях" (лол), если ты (по твоим же словам) ничего, кроме С и Lua за всю жизнь не осилил - и потому на Расте не писал?

> инструменты вокруг С позволяют избавится от всех проблем.

Нет, они как раз избавляют не от проблем, а от их последствий.

> Я уже писал, что гораздо эффективнее во всех планах налабать работающую прогу и уже потом прочекать её всеми инструментами,

О, да: вон, в новости последствия этой "эффктивности". Сидишь и эффективно сношаешься с буферами/mamcpy, потом эффективно идешь на поклон к левой корпе, чтобы ее ИИ выловил последствия твоего эффективного программирования. Надежный план.

4.57, Аноним (8), 23:02, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Вот именно Мы видим результат этого прогресса Кул стори, бро Только ты забы... большой текст свёрнут, показать

2.28, Аноним (1), 20:39, 23/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Разговоры про статические анализаторы идут с 90-х годов, а буферы как переполняли, так и переполняют

3.55, Аноним83 (?), 22:50, 23/05/2026 Скрыто ботом-модератором [к модератору]	+/–

3.58, Ffff (?), 23:05, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Где надо, там давно не переполняют.

4.62, Аноним (8), 23:12, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ага, те самые мифические "настоящие сишники". Никто, правда, так и не сказал, где они водятся (Аноним83/Ivan_83 из опеннетных комментариев не в счет).

1.20, Аноним (20), 20:26, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Всё пропало! Нам всем конец! Шучу. Пишешь helloword, пропускаешь через ИИ - и он находится 13 опасных уязвимостей!

2.32, Аноним (19), 20:50, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Берите открытую модель и проверяйте: https://opennet.ru/65005-mistral

1.22, Аноним (22), 20:29, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
очень надеюсь что Microsoft тоже предпринимает действия по анализу кода с помощью AI. Мы же помним как в один момент стали доступны исходные коды на Windows разных версий. Это должен был кто-то сказать.

2.45, dannyD (?), 21:31, 23/05/2026 [^] [^^] [^^^] [ответить]

+/–

предпринимает, только у него правое полушарие не ведает что делает левое.

один ии сочиняет, второй пытается это исправить.

а люди - кровати переставляют.

1.25, Аноним (25), 20:33, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А уже есть языки программирования, созданные AI, чтобы криворукие программисты реже писали код с уязвимостями?

2.53, maximnik0 (?), 22:20, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
>чтобы криворукие программисты реже писали >код с уязвимостями? Есть язык созданный не Аи но прошедший формальную верификацию -SPARK ,подмножество языка Ada .Что то не видно вокруг него хайпа как с растом ...

1.26, Сладкая булочка (?), 20:34, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Еще не появилось аналогичных открытых моделей?

2.29, Аноним (19), 20:39, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
И вряд ли появится т.к. создание и обучение там явно намного дороже: - https://servernews.ru/1142182 - https://servernews.ru/1139560

3.37, Аноним (1), 21:09, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Инференс больших моделей тоже дорогое удовольствие. Причем для нормальной скорости нужна видеопамять, а не оперативка

4.46, Аноним (-), 21:32, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Есть ведь DGX Spark. Как пример. А вообще и до него хватало компьютеров, с распаянным GPU и общей памятью

5.49, Аноним (19), 21:42, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну Anthropic нужны мощности поболее, новые гугловские tpu имеют 216/288 GB HBM3e памяти на чип: https://blog.google/innovation-and-ai/infrastructure-and-cloud/google-cloud/ei

2.30, Аноним (1), 20:41, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Как Mythos? У нас даже аналога Claude Opus открытого нет, а эта Mythos в узкой специализации (кодинге) мощнее опуса в разы

2.59, Ffff (?), 23:07, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Там нет денег на такие маркетинговые бюджеты))

1.43, Аноним (43), 21:27, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Раст больше не нужен все выходы за пределы уже посчитаны.

1.44, 2 (?), 21:30, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Надо полагать, эта движуха не для того, чтобы принести пользу обществу, а чтобы модель обучалась. Не на своем же коде ее обучать, еще выдаст кому-нибудь.

2.60, Ffff (?), 23:08, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Эта движуха чтобы двигать продажи ллмок

1.50, pashev.ru (?), 21:43, 23/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.64, cheburnator9000 (ok), 23:21, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
кто все эти люди которые пишут одни дыры? дыроколы!

2.65, Xo (?), 23:36, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Cкорее очкализы!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: