- Project Glasswing on Anthropicin johtama allianssi, joka käyttää Claude Mythos Preview -tekoälymallia kriittisten ohjelmistojen haavoittavuuksien havaitsemiseen laajamittaisesti.
- Claude Mythos Preview on löytänyt tuhansia nollapäivähaavoittuvuuksia, mukaan lukien vuosikymmeniä vanhoja bugeja OpenBSD:ssä, FFmpegissä ja Linux-ytimessä, kehittäen hyväksikäyttöjä lähes kokonaan itse.
- Projekti kokoaa yhteen jättiläisiä, kuten AWS, Apple, Google, Microsoft, NVIDIA ja Linux Foundation, ja se varaa 100 miljoonaa dollaria käyttöhyvityksiä ja 4 miljoonaa dollaria avoimen lähdekoodin tietoturvaan.
- Anthropic rajoittaa pääsyä Mythoksen käyttöön sen hyökkäävän potentiaalin vuoksi, pyrkii antamaan puolustajille etulyöntiaseman ja määrittelemään kyberturvallisuuden uudelleen kohti automatisoidumpia ja ennaltaehkäiseviä malleja.
Jos olet äskettäin kuullut Project Glasswingistä, mutta et ole aivan varma, mikä se on, mitä Claude Mythosilla on tekemistä sen kanssa ja miksi koko kyberturvallisuusmaailma on niin keskittynyt siihen, tämä on sinua varten.Olet oikeassa paikassa. Claude-malleista tunnettu Anthropic on tehnyt aloitteen, joka yhdistää huippuluokan tekoälyn, teknologiajätit ja hyvin erikoisen lähestymistavan: he käyttävät mallia, jota he pitävät vaarallisena… vain valittujen puolustajien käsissä.
Project Glasswing on paljon enemmän kuin pelkkä tuotejulkistus tai uusi APITämä on laajamittainen ja koordinoitu hanke, jonka tarkoituksena on seurata ja korjata ohjelmistohaavoittuvuuksia maailman kriittisessä digitaalisessa infrastruktuurissa ennen kuin hyökkääjät – mukaan lukien valtioiden tukemat ryhmät – voivat hyödyntää niitä tekoälyn avulla. Sen ytimessä on Claude Mythos Preview, erittäin edistynyt kokeellinen malli, jonka Anthropic pitää poissa julkisuudesta juuri sen kyvyn vuoksi löytää ja hyödyntää tietoturva-aukkoja.
Mikä on antropologinen projekti Glasswing ja mikä on sen todellinen tavoite?
Anthropic Project Glasswing on tekoälyyn perustuva kyberturvallisuusallianssi, jonka Anthropic käynnisti yhteistyössä kymmenkunnan johtavan teknologia- ja rahoitusalan yrityksen kanssa.Aloitteeseen on sittemmin liittynyt yli 40 muuta kriittisistä ohjelmistoista ja infrastruktuurista vastaavaa organisaatiota. Heidän ilmoitettu tavoitteensa on selvä: "turvata maailman kriittisin ohjelmisto" tekoälyn aikakaudella käyttämällä kokeellista mallia nimeltä Claude Mythos Preview.
Sen taustalla oleva filosofia on yksinkertainen mutta voimakas.Jos kyberrikolliset ja vihamieliset valtiot aikovat käyttää edistynyttä tekoälyä haavoittuvuuksien paikantamiseen ja hyödyntämiseen ennennäkemättömällä nopeudella ja mittakaavassa, ainoa tapa välttää jälkeen jääminen on käyttää entistäkin tehokkaampia malleja... mutta hallitusti, rajoitetulla pääsyllä ja luotettavien puolustajien käsissä. Glasswing syntyi juuri tästä tekoälyn hyökkäävän ja puolustavan potentiaalin välisestä jännitteestä.
Anthropic myöntää avoimesti, että jotkut rajaseudun mallit ovat jo nyt useimpia ihmisiä parempia koodin auditoinnissa ja haavoittuvuuksien metsästyksessä.Vain alan loistavimmat asiantuntijat sijoittuvat sen yläpuolelle. Claude Mythos Preview kuuluu tähän joukkoon: yleiskäyttöinen malli, joka on koulutettu ensisijaisesti ohjelmointiin ja päättelyyn ja joka on osoittautunut erinomaiseksi kyberturvallisuustehtävissä sekä haavoittuvuuksien havaitsemisessa että hyödyntämisessä.
Project Glasswingin käytännön tavoitteena on käyttää tätä mallia skannaamaan, testaamaan ja vahvistamaan järjestelmiä, jotka edustavat suurta osaa maailmanlaajuisesta hyökkäyspinnasta.Käyttöjärjestelmät, selaimet, kriittiset kirjastot, hypervisorit, pilvipalvelut, rahoitusinfrastruktuurit ja avoimen lähdekoodin projektit, jotka tukevat internetiä. Kaikki vastuullisen tiedonannon puitteissa ja yritysten, yhteisöjen ja hallitusten välisessä suorassa yhteistyössä.
Anthropic väittää, ettei yksikään organisaatio voi ratkaista tätä haastetta yksin.Se vaatii huippuluokan tekoälykehittäjien, ohjelmistoyritysten, avoimen lähdekoodin projektien ylläpitäjien, tietoturvatutkijoiden ja julkishallinnon yhteistyötä. Glasswingin tavoitteena on olla tämä kohtaamispaikka, jossa tekoäly on koordinoidun puolustuksen keskeinen osa.
Claude Mythos -esikatselu: Project Glasswingin tekoälymalli
Project Glasswingin ytimessä on Claude Mythos Preview, rajaseudun malli, jota Anthropic pitää niin voimakkaana kybermaailmassa, ettei se ole päättänyt julkaista sitä yleisölle.Toisin kuin muut Clauden mallit, Mythos ei ole vain "hieman parempi versio": sisäiset ja ulkoiset testit osoittavat merkittävän harppauksen ohjelmoinnissa, syvällisessä päättelyssä ja ennen kaikkea haavoittuvuuksien havaitsemisessa ja hyödyntämisessä.
Silmiinpistävintä on, että Mythosta ei ole erityisesti koulutettu turvallisuusmalliksi.Antrooppinen koulutus koulutti hänet erittäin hyväksi tekniseksi malliksi koodauksessa, analysoinnissa ja automatisoinnissa; ja sivuvaikutuksena hänelle on kehittynyt erinomainen kyky tunnistaa monimutkaisten ohjelmistojen virheitä, kehittää toimivia hyökkäyspolkuja ja ketjuttaa yhteen useita haavoittuvuuksia vakavien tietomurtojen, kuten oikeuksien eskaloinnin tai koodin etäsuorittamisen, saavuttamiseksi.
Vertailevissa arvioinneissa Claude Mythos Preview päihittää helposti Claude Opus 4.6:n tietoturvaskenaarioissa.Sisäisessä kyberturvallisuusvertailussa (CyberGym) Mythos saavuttaa 83,1 %:n onnistumisprosentin verrattuna Opus 4.6:n 66,6 %:iin. Ohjelmistosuunnittelutehtävissä, kuten SWE-benchissä ja todennetuissa varianteissa, se osoittaa myös kaksinumeroisia parannuksia, ja edistyneissä päättelytesteissä (kuten GPQA Diamond tai Humanity's Last Exam) se erottuu lähes "olympiatason" kyvyillään matematiikassa ja logiikassa.
Kyberturvallisuuden avain ei ole pelkästään se, kuinka hyvin ohjelmoit, vaan se, miten päättelet ohjelmistojen toiminnasta.Mythos pystyy erottamaan odotetun suunnittelun ja sen, mitä koodi todellisuudessa tekee suorituksen aikana, löytäen loogisia haavoittuvuuksia, todennuksen ohituksia, validointivirheitä ja monimutkaisia hyökkäysketjuja, ei vain klassisia muistin vioittumismalleja, jotka monet staattiset skannerit ovat jo havainneet.
Tämän potentiaalin kanavoimiseksi Anthropic käyttää Mythosta agenttisessa viitekehyksessä. Se automatisoi useita vaiheita: tiedostojen luokittelun haavoittuvuustodennäköisyyden perusteella, hypoteesien muodostamisen ja testaamisen eristetyissä ympäristöissä (konteissa), konseptitodistushyökkäysten autonomisen luomisen ja sitä seuraavan ihmisen tekemän validointikerroksen. Yrityksen mukaan noin 89 % sen vakavuusluokituksista vastaa ihmisasiantuntijoiden arvioita.
Löydetyt haavoittuvuudet: vuosikymmeniä vanhoja puutteita ja itsenäisiä hyökkäyksiä
Anthropic väittää tunnistaneensa Claude Mythos Preview'n intensiivisen käytön ensimmäisten viikkojen aikana tuhansia vakavia nollapäivähaavoittuvuuksia.Tällaiset puutteet olivat täysin tuntemattomia kyseisten projektien kehittäjille, ja monet niistä löytyvät ohjelmistoista, joita on otettu käyttöön ja auditoitu vuosikymmeniä.
Anthropicin itsensä yksityiskohtaisesti kuvaamien esimerkkien joukossa on kolme erityisen silmiinpistävää tapausta.:
- OpenBSDMythos löysi 27 vuotta sitten yhdessä maailman vankimmista käyttöjärjestelmistä, jota käytetään palomuureissa ja muussa kriittisessä infrastruktuurissa, haavoittuvuuden. Haavoittuvuuden ansiosta etähyökkääjä pystyi kaatamaan minkä tahansa koneen yksinkertaisesti muodostamalla tietyn yhteyden.
- FFmpegMalli löysi 16 vuotta vanhan virheen tästä tärkeästä videokoodaus- ja dekoodausprojektista koodiriviltä, jota automaattiset testaustyökalut olivat ajaneet yli viisi miljoonaa kertaa havaitsematta ongelmaa.
- Linux-ydin ja muut ympäristötMythos onnistui tunnistamaan ja ketjuttamaan useita Linux-ytimen haavoittuvuuksia, joiden avulla normaalikäyttäjä sai järjestelmän täysin hallintaansa. Myös hypervisoreissa ja verkkokomponenteissa on raportoitu haavoittuvuuksia, jotka voivat johtaa virtuaalikoneiden karkaamiseen ja ohjausvirran kaappaamiseen.
Suurin osa näistä haavoittuvuuksista löydettiin ja monissa tapauksissa niitä hyödynnettiin täysin itsenäisesti.ilman suoraa ihmisen puuttumista asiaan kokonaistavoitteen määrittelyn lisäksi. Malli ei ainoastaan tunnista haavoittuvuutta, vaan myös kehittää toiminnallisia hyökkäystekniikoita: monimutkaisia ROP-ketjuja, kekopiskeja selainympäristöjen ohittamiseksi, KASLR-ohituksia ja muita edistyneitä hyökkäystekniikoita.
Ulkopuoliset analyytikot ovat korostaneet tämän ominaisuuden taloudellisia vaikutuksiaJos malli pystyy paikantamaan ja hyödyntämään kriittisen bugin suhteellisen pienillä laskentakustannuksilla, perinteinen malli, jossa ihmistutkijoille maksetaan rutiininomaisista löydöksistä, menettää osan merkityksestään. Aloitteet, kuten bugipalkkiot, pysyvät tärkeinä, mutta ne keskittyvät todennäköisesti erityisen monimutkaisiin tai kontekstikohtaisiin haavoittuvuuksiin.
Välttääkseen logistisen kaaoksen syntymisen, joka syntyisi tulvimalla ohjelmistoylläpitäjiä kyseenalaisen laadukkailla automatisoiduilla raporteillaAnthropic on suunnitellut luokittelu- ja priorisointijärjestelmän. Ensin arvioidaan kunkin löydöksen vakavuus ja hyödynnettävyys; sitten vakavimmat tapaukset lähetetään ammattimaisille ihmisarvioijille, jotka validoivat jokaisen haavoittuvuuden ja mahdollisuuksien mukaan sisällyttävät mukaan mallin ehdottaman ehdokaskorjauksen, joka on asianmukaisesti merkitty osoittamaan, että se on peräisin tekoälystä.
Julkistusprosessin osalta Anthropic noudattaa koordinoitua kehystäKun korjaustiedosto on saatavilla, yritys odottaa tyypillisesti noin 45 päivää ennen haavoittuvuuden ja sen hyödyntämismahdollisuuksien yksityiskohtaisten teknisten tietojen julkaisemista, antaen toimittajille ja käyttäjille kohtuullisen ajan järjestelmiensä päivittämiseen. Muissa tapauksissa yritys julkaisee löydettyjen haavoittuvuuksien kryptografisia tiivisteitä Frontier Red Team -blogissaan ja sitoutuu paljastamaan tiedot, kun haavoittuvuudet on korjattu.
Ketkä ovat osa Project Glasswing -koalitiota?
Yksi Project Glasswingin silmiinpistävimmistä asioista on sen perustajakumppaneiden taso.Anthropic on koonnut yhteen 12 organisaatiota, jotka yhdessä keskittävät suuren osan globaalista teknologisesta voimasta: julkiset pilvet, laitevalmistajat, tietoturvayritykset, rahoitusjätit ja Linux-ekosysteemin perustan.
Aloitteen alkuperäisiin jäseniin kuuluvat Amazon Web Services (AWS), Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA ja Palo Alto Networks.Anthropicin lisäksi on yli 40 muuta organisaatiota, jotka kehittävät tai ylläpitävät kriittistä ohjelmistoa ja infrastruktuuria, mukaan lukien laajalti käyttöönotetut avoimen lähdekoodin projektit.
Jokainen kumppanityyppi tuo palapeliin oman palansa:
- Pilvi- ja alustapalveluntarjoajat (AWS, Google Cloud, Microsoft): Ne hallinnoivat valtavia määriä infrastruktuuria ja liikennettäja he integroivat jo tekoälyä puolustusjärjestelmiinsä analysoidakseen satoja biljoonia päivittäisiä verkkovirtoja.
- Laitteisto- ja verkkovalmistajat (Broadcom, Cisco, NVIDIA)Sen teknologia on fyysinen perusta, jolla suuri osa tekoälystä ja internet-liikenteestä toimii.
- Turvallisuusyritykset (CrowdStrike, Palo Alto Networks)He ovat eturintamassa tunkeutumisen havaitsemisessa, päätepisteiden suojauksessa ja tietoturvaloukkauksiin reagoinnissa.
- Finanssiala (JPMorgan Chase)Se on olennainen osa maailmanlaajuista taloudellista infrastruktuuria, jota hyökätään ja jota säännellään paljon.
- Avoimen lähdekoodin säätiöt (Linux Foundation, Apache Software Foundation lahjoitusten kautta)He valvovat projekteja, joita käyttävät kaikki startup-yrityksistä hallituksiin, kuten Linux-ydin, Kubernetes tai suuret web-palvelimet.
Monet näistä kumppaneista ovat jo testanneet Mythos Preview'ta omilla koodikantoillaan viikkojen ajan.AWS:n, Microsoftin ja CrowdStriken johtajat ovat julkisesti vahvistaneet, että malli auttaa vahvistamaan kriittisiä komponentteja lyhentämällä aikaa haavoittuvuuden havaitsemisen ja sen mahdollisen hyödyntämisen välillä – ikkunaa, jota tekoäly lyhentää kuukausista minuutteihin.
Linux Foundationin läsnäolo on erityisen symbolinen.Sen toimitusjohtaja Jim Zemlin on huomauttanut, että tietoturvaosaaminen on aina ollut ylellisyyttä, joka on saatavilla vain organisaatioille, joilla on suuret, erikoistuneet tiimit, kun taas avoimen lähdekoodin ohjelmistojen ylläpitäjät, jotka tukevat suurta osaa maailman infrastruktuurista, ovat usein vapaaehtoisia, joilla on rajalliset resurssit. Glasswingin ja siihen liittyvien ohjelmien avulla nämä ylläpitäjät voivat ensimmäistä kertaa käyttää rajamalleihin perustuvia tunnistustyökaluja.
Anthropic on myös jatkuvasti yhteydessä Yhdysvaltojen ja muiden liittoutuneiden hallitusten viranomaisiin. arvioida Mythoksen ja vastaavien mallien kansallisen turvallisuuden vaikutuksia. Yritys väittää, että selkeän johtajuuden säilyttäminen tekoälyssä on nyt strateginen prioriteetti demokratioille juuri siksi, että teknologia on saamassa kyberhyökkäys- ja puolustusulottuvuuksia.
Taloudelliset sitoumukset, käyttöoikeudet ja turvallisuusrajoitukset
Project Glasswing ei pysähdy hyvien aikomusten julistuksiinSiihen liittyy melko tarkkoja taloudellisia ja käyttösitoumuksia. Anthropic on sitoutunut tarjoamaan jopa 100 miljoonaa dollaria Claude Mythos Preview -käyttöhyvityksiä tämän tutkimuksen esikatseluvaiheen osallistujille.
Nämä opintopisteet kattavat huomattavan määrän laskentatehoa.Tämä riittää miljoonien perusteellisten analyysien suorittamiseen suurista koodikannoista, kokonaisista käyttöjärjestelmistä tai ohjelmistotoimitusketjun keskeisistä osista. Tämän vaiheen jälkeen malli on saatavilla Glasswingin säännöllisille osallistujille viitehintaan 25 dollaria miljoonaa sisäänkirjautumistokenia kohden ja 125 dollaria miljoonaa poistumistokenia kohden, ja se on käytettävissä Claude API:n, Amazon Bedrockin, Google Cloud Vertex AI:n ja Microsoft Foundryn kautta.
Lisäksi avoimen lähdekoodin tietoturvaorganisaatioille lahjoitettiin suoria lahjoituksia neljä miljoonaa dollaria.Linux Foundationin kautta osoitettiin 2,5 miljoonaa dollaria Alpha-Omegalle ja OpenSSF:lle ja 1,5 miljoonaa dollaria Apache Software Foundationille. Tavoitteena on tarjota avainprojekteille resursseja haavoittuvuusraporttien käsittelyyn, korjauspäivitysten asentamiseen ja prosessien mukauttamiseen tilanteeseen, jossa automaattinen havainnointi skaalautuu dramaattisesti.
Pääsymahdollisuuksien suhteen Anthropic on ehdoton: Claude Mythos Preview -peliä ei tehdä suurelle yleisölle saataville. Tässä vaiheessa juuri sen hyökkäävien kykyjen vuoksi. Sen sijaan se on saatavilla vain Glasswingin kumppaneille ja valitulle ryhmälle muita organisaatioita ja avoimen lähdekoodin ylläpitäjiä erityisohjelmien, kuten Claude for Open Source -ohjelman tai tulevan Cyber Verification -ohjelman akkreditoiduille turvallisuusalan ammattilaisille, puitteissa.
Antrooppisen yrityksen on täytynyt puolustaa tätä kantaa kritiikkiä vastaan, joka koskee keskittämistä ja suurten yritysten mahdollista kilpailuetua.Yhtiö väittää, että kyseessä on herkkä tasapainoilu: Mythoksen laaja julkaiseminen voisi helpottaa tuhoisia hyökkäyksiä kriittistä infrastruktuuria vastaan, kun taas sen hallitusti rajoittaminen yhdistettynä vastuulliseen tiedonantoon ja parhaiden käytäntöjen jakamiseen mahdollistaisi koko ekosysteemin vahvistamisen antamatta hyökkäyskykyä pahantahtoisille toimijoille.
Anthropic itse on kärsinyt kiusallisista turvallisuusongelmista viime kuukausina (kuten sisäisten luonnosten vuodot tai pakkausvirheet, jotka paljastivat lähdekoodin muutamaksi tunniksi), mikä on herättänyt kysymyksiä sen roolista näin tehokkaan mallin vartijana. Yrityksen johtajat ovat vastanneet, että nämä ongelmat johtuivat julkaisutyökalujen virheistä, eivätkä heidän tietoturva-arkkitehtuurinsa rakenteellisista puutteista, ja väittävät tarkistaneensa prosesseja estääkseen niiden toistumisen.
Vaikutus kyberturvallisuuteen: priorisoinnista altistumisikkunaan
Claude Mythos Preview'n kaltaisen mallin käyttöönotto pakottaa uudelleenarvioimaan joitakin klassisen kyberturvallisuuden dogmeja.Tähän asti monet organisaatiot ovat keskittyneet haavoittuvuuksien priorisointiin niiden vakavuuden, hyväksikäytön todennäköisyyden ja kyseessä olevan järjestelmän kriittisyyden perusteella ja hyväksyneet sen, että osa ruuhkasta pysyisi ratkaisematta vielä jonkin aikaa.
Koska tekoäly pystyy tunnistamaan ja hyödyntämään puutteita valtavassa mittakaavassa, useat asiantuntijat huomauttavat, että ongelma ei ole enää niinkään priorisointi kuin "altistumisikkuna".Kuinka kauan järjestelmä pysyy haavoittuvana, kun vika on tiedossa, ja mikä on organisaation kapasiteetti havaita, korjata, ottaa käyttöön ja tarkistaa korjaukset lähes reaaliajassa?
Tämä työntää yrityksiä kohti paljon automatisoidumpi tietoturvamalli ja integroitu kehityssykliinAjatus "ohjelmistotehtaista", jotka kykenevät systemaattisesti tuottamaan turvallista koodia ja jonka vankuudesta on todennettavissa olevaa näyttöä, on saamassa kannatusta. Tietoturva ei ole enää jälkikäteen mietitty asia, vaan se on nyt integroitu suunnittelun ja toteutuksen alkuvaiheista lähtien hyödyntäen tekoälytyökaluja sekä ennaltaehkäisyssä että havaitsemisessa.
Project Glasswing korostaa myös tarvetta tarkastella ohjelmistojen toimitusketjua ylhäältä alas.Kolmannen osapuolen riippuvuudet, avoimen lähdekoodin kirjastot, verkkokomponentit, laiteohjelmistot, sulautetut järjestelmät… Kaikki, mitä aiemmin pidettiin kohtuullisen turvallisena, voi sisältää pitkäaikaisia haavoittuvuuksia, jotka kehittynyt tekoäly voi paljastaa muutamassa tunnissa.
Samaan aikaan aloite korostaa epämukavaa todellisuuttaSamalla kun puolustajat ja vastuulliset yritykset ajavat Glasswingin kaltaisia projekteja, rikollisryhmät ja vihamieliset valtiolliset toimijat kokeilevat myös edistyneitä malleja joko käyttämällä julkisia työkaluja tai hyödyntämällä tehokkaampia ominaisuuksia läpinäkymättömien kanavien kautta. Siksi Anthropic ja sen kumppanit korostavat ajan ostamisen kiireellisyyttä: näiden kuukausien tai vuosien hyödyntämistä, jolloin puolustajat voivat vielä saada yliotteen.
Kaikentyyppisten organisaatioiden kehitys- ja tietoturvatiimeilleTämä tarkoittaa useita käytännön seurauksia: päivitettyjen riippuvuuksien aggressiivisempaa ylläpitoa, tekoälypohjaisen automatisoidun koodianalyysin integrointia kehitysputkiin, korjauspäivitysten hallintakäytäntöjen tarkistamista ja valmistautumista ympäristöön, jossa tekoälyn avustamat kyberhyökkäykset ovat yleisempiä, nopeampia ja kehittyneempiä.
Lyhyesti sanottuna Anthropic Project Glasswing on käännekohta siinä, miten digitaalista puolustusta ajatellaan tekoälyn aikakaudella.Se yhdistää huippuluokan mallin ennennäkemättömiin haavoittuvuuksien löytämiskykyihin, teknologia- ja rahoitusjättien koalitioon, vahvaan tukeen avoimen lähdekoodin ekosysteemille ja rajoitetun käyttöoikeuden lähestymistapaan, jonka tavoitteena on maksimoida puolustushyödyt ja minimoida haitallisen käytön riski. Perimmäinen viesti on selvä: tekoäly on jo muuttanut kyberturvallisuuden pelisääntöjä, ja ne, jotka eivät sopeuta prosessejaan, työkalujaan ja ajattelutapaansa tähän uuteen maisemaan, jäävät kauas jälkeen.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.