Mythos har identificeret 23.000 potentielle sårbarheder i open source‑software

Anthropic har offentliggjort nye tal for resultaterne fra sin sikkerhedsmodel Claude Mythos. Ifølge virksomheden har Mythos Preview identificeret mere end 23.000 potentielle sårbarheder på tværs af over 1.000 open source‑projekter, som udgør centrale komponenter i den globale digitale infrastruktur.

Det skriver Security Week.

Modellen er stadig ikke frit tilgængelig, men anvendes i et kontrolleret samarbejde med udvalgte organisationer gennem adgangsprogrammet Project Glasswing. Anthropic fremhæver, at Mythos er i stand til at finde sårbarheder i en skala og med en hastighed, der overstiger traditionelle manuelle gennemgange.

Høj hitrate blandt fundene

Af de 23.000 identificerede fund er omkring 1.900 blevet gennemgået af eksterne sikkerhedsfirmaer. Heraf er 1.726 blevet bekræftet som reelle sårbarheder, og mere end 1.000 er vurderet som værende af høj eller kritisk alvorlighed.

Arbejdet er fortsat i gang. På baggrund af de foreløbige resultater vurderer Anthropic, at næsten 3.900 høj‑ eller kritisk‑alvorlige sårbarheder vil blive bekræftet blandt de nuværende fund. Da scanningerne fortsætter, forventer virksomheden, at det samlede antal alvorlige sårbarheder kan nå op omkring 6.200.

Mere end 1.100 endnu ikke verificerede fund er allerede blevet rapporteret til leverandører og vedligeholdere som led i en koordineret sårbarhedsafsløring.

Indtil videre er 75 høj‑ eller kritisk‑alvorlige sårbarheder blevet patchet, og der er udsendt 65 offentlige sikkerhedsadvarsler. Anthropic peger på tre forklaringer på det relativt lave antal rettelser.

For det første befinder mange sager sig fortsat inden for den 90‑dages frist, der gælder for koordineret sårbarhedsafsløring. For det andet vurderer virksomheden, at antallet af patches er lavt sat, da ikke alle rettelser ledsages af offentlige adviseringer. Endelig fremhæver Anthropic, at mængden af fund lægger yderligere pres på et i forvejen overbelastet sikkerhedsøkosystem.

Erfaringer fra Project Glasswing‑partnere

De offentliggjorte tal dækker udelukkende open source‑projekter, og en stor del af scanningerne er udført af Anthropic selv. Omkring 50 organisationer har adgang til Mythos Preview gennem Project Glasswing.

Flere partnere har rapporteret konkrete resultater. Mozilla har oplyst, at modellen har bidraget til at identificere 271 sårbarheder i Firefox, mens Palo Alto Networks har fundet adskillige fejl ved hjælp af Mythos. Anthropic henviser også til positive evalueringer fra den britiske regering og tests udført af sikkerhedsvirksomheden XBOW.

Resultaterne er dog ikke entydige. I projektet Curl fandt Mythos kun én sårbarhed af lav alvorlighed, hvilket har ført til debat om, hvorvidt resultatet afspejler modellens begrænsninger eller softwarens modenhed.

Anthropic fastholder, at virksomheden endnu ikke har udviklet tilstrækkeligt stærke værn til at forhindre misbrug af Mythos ved bred offentlig adgang. Samtidig arbejder selskabet på at udvide Project Glasswing til flere organisationer og gentager ambitionen om på sigt at gøre denne type modeller bredt tilgængelige.