← На главную

Anthropic запустила модель Mythos, но нашла уязвимость лишь в одном из пяти проектов

11.05.2026 06:39 · hackernews

В апреле 2026 года компания Anthropic удивила мир моделью Mythos, которая продемонстрировала удивительную способность находить уязвимости в исходном коде. Корпорация решила не выводить её сразу на рынок, а предоставить доступ избранным компаниям, чтобы те успели исправить критические проблемы перед широким релизом. Проект Glasswing от Linux Foundation получил доступ к модели через свою инициативу Alpha Omega, но доступ к ней задержали, и вместо прямого запуска команде проекта curl предложили воспользоваться анализом от другого эксперта. Исследователи уже давно используют инструменты вроде AISLE, Zeropath и Codex Security от OpenAI, которые за последние 8–10 месяцев привели к более двухсот исправлений ошибок и публикациям около дюжины CVE. Сейчас в процесс проверки включены GitHub Copilot и Augment code, которые помогают выявлять проблемы на этапе review pull requests. Проект curl делает безопасность главным приоритетом, используя множество методов, включая fuzzing и статический анализ, поэтому найти серьёзные баги здесь крайне сложно.

Первый отчёт Mythos проанализировал репозиторий на ветке master, охватив 178 тысяч строк кода. Инструмент сообщил о пяти подтверждённых уязвимостях, однако после детального разбора командой безопасности оставалась только одна. Четыре остальных находки оказались ложными срабатываниями или описанными в документации особенностями API, а пятая была просто багом. Единственная подтверждённая проблема получила статус низкой серьезности и будет опубликована как CVE в релизе 8.21.0 в конце июня. Отчёт также обнаружил около двадцати обычных багов, которые сейчас исправляют по очереди. Хотя Mythos нашёл меньше проблем, чем предыдущие инструменты, это естественный процесс: по мере устранения очевидных ошибок поиск новых становится сложнее. Автор заключает, что весь шум вокруг модели был скорее маркетингом, так как её эффективность не кардинально превосходит аналоги. Тем не менее AI-анализаторы значительно лучше традиционных инструментов находят ошибки, особенно новые виды, которых раньше не замечали. Модели умеют проверять соответствие коду комментариям, учитывать детали сторонних библиотек и протоколов, а также генерировать патчи. В ходе анализа не нашли уязвимостей, связанных с безопасностью памяти, что подтверждает высокую защищённость кода curl благодаря динамическим буферам и другим мерам. Эксперты надеются продолжать сканировать проект новыми моделями, пока они не перестанут находить новые проблемы.

Читать оригинал →