Die fortschrittlichen Tools für künstliche Intelligenz von Anthropic zum Auffinden von Software-Schwachstellen haben in den Medien große Aufmerksamkeit erregt. Im März berichteten Mozilla-Forscher, dass Claude Opus 4.6 von Anthropic in zwei Wochen 14 hochschwere Fehler und 22 CVEs identifizierte und damit die Leistung menschlicher Forscher bei Mozilla übertraf.
Mithilfe einer Testversion des Mythos-Modells von Anthropic behaupteten Sicherheitsforscher von Calif, einem in Palo Alto ansässigen Cybersicherheitsunternehmen, Sicherheitsmaßnahmen von Apples macOS umgangen zu haben. Sie gaben an, dass ein „Privilege Escalation Exploit“ in Kombination mit einem anderen Angriffsvektor es böswilligen Akteuren ermöglichen könnte, die Kontrolle über ein Zielgerät zu erlangen.
Die Forscher erklärten, sie hätten Software entwickelt, die zwei separate Fehler miteinander verknüpft, und verschiedene Techniken eingesetzt, um „den Speicher des Mac zu beschädigen“, um auf eingeschränkte Komponenten zugreifen zu können. Die Entdeckung des Exploits dauerte fünf Tage und erforderte die Zusammenarbeit menschlicher Hacker und des Mythos-Modells.
Apple prüft derzeit den Bericht der Forscher, um seine Ergebnisse zu verifizieren. „Sicherheit hat für uns oberste Priorität und wir nehmen Berichte über potenzielle Schwachstellen sehr ernst“, sagte ein Apple-Sprecher gegenüber The Wall Street Journal.
Anthropic startete Mythos, ursprünglich bekannt als Project Glasswing, im April mit einem auf rund 40 ausgewählte Technologieunternehmen beschränkten Zugang. Das Unternehmen berichtete, dass Mythos Tausende von Schwachstellen mit hohem Schweregrad in verschiedenen Betriebssystemen und Webbrowsern identifiziert hat und warnt vor schwerwiegenden Folgen, wenn solche Funktionen in die Hände böswilliger Personen geraten.
Michał Zalewski, ein Google-Sicherheitsforscher, wertete die Erkenntnisse aus Kalifornien aus, allerdings ohne direkte Beteiligung an der Untersuchung. Er wies darauf hin, dass der Hype um Mythos zwar teilweise „übertrieben“ sei, aber immer noch Potenzial für umfangreiche Schwachstellenforschung und Codeprüfungen biete.
In den Diskussionen über die Fähigkeiten von Mythos wurden Bedenken hinsichtlich der potenziellen Gefahren des Modells laut, wenn es öffentlich zugänglich gemacht würde. Gary McGraw, ein ehemaliger Cybersicherheitsmanager bei Synopsys, beteiligte sich an der Diskussion und versicherte, dass die Technologie nicht von Natur aus zu gefährlich sei, um veröffentlicht zu werden. Er betonte die Notwendigkeit, die tatsächlichen Herausforderungen der Cybersicherheit anzugehen, anstatt den Zugriff auf nützliche Tools einzuschränken.
