Gli avanzati strumenti di intelligenza artificiale di Anthropic per l’individuazione delle vulnerabilità del software hanno attirato una notevole attenzione da parte dei media. A marzo, i ricercatori di Mozilla hanno riferito che Claude Opus 4.6 di Anthropic ha identificato 14 bug di elevata gravità e 22 CVE in due settimane, superando le prestazioni dei ricercatori umani di Mozilla.
Utilizzando una versione di prova del modello Mythos di Anthropic, i ricercatori di sicurezza della California, un’azienda di sicurezza informatica con sede a Palo Alto, hanno affermato di aver aggirato le misure di sicurezza del macOS di Apple. Hanno affermato che un “exploit di escalation dei privilegi”, combinato con un altro vettore di attacco, potrebbe consentire ad autori malintenzionati di ottenere il controllo di un dispositivo bersaglio.
I ricercatori hanno spiegato di aver sviluppato un software che collega due bug separati e di aver utilizzato varie tecniche per “corrompere la memoria del Mac” per accedere a componenti riservati. La scoperta dell’exploit ha richiesto cinque giorni, richiedendo uno sforzo di collaborazione da parte degli hacker umani e del modello Mythos.
Apple sta attualmente esaminando il rapporto dei ricercatori per verificare i suoi risultati. “La sicurezza è la nostra massima priorità e prendiamo molto sul serio le segnalazioni di potenziali vulnerabilità”, ha dichiarato un portavoce di Apple al The Wall Street Journal.
Anthropic ha lanciato Mythos, inizialmente noto come Project Glasswing, ad aprile con accesso limitato a circa 40 aziende tecnologiche selezionate. La società ha riferito che Mythos ha identificato migliaia di vulnerabilità di elevata gravità su vari sistemi operativi e browser Web, avvertendo di gravi conseguenze se tali funzionalità dovessero cadere nelle mani di individui malintenzionati.
Michał Zalewski, un ricercatore di sicurezza di Google, ha valutato i risultati della California, anche se senza un coinvolgimento diretto nella ricerca. Ha osservato che, sebbene alcune esagerazioni su Mythos possano essere “esagerate”, offrono comunque un potenziale per una significativa ricerca sulle vulnerabilità e un controllo del codice.
Nel corso delle discussioni sulle capacità di Mythos, sono emerse preoccupazioni sui potenziali pericoli del modello se reso pubblico. Gary McGraw, ex dirigente della sicurezza informatica presso Synopsys, è entrato nella conversazione, affermando che la tecnologia non è intrinsecamente troppo pericolosa da rilasciare. Ha sottolineato la necessità di affrontare le attuali sfide della sicurezza informatica piuttosto che limitare l’accesso a strumenti utili.
