Tehnologie

Claude a găsit 10.000 de bug-uri critice într-o lună — oamenii nu mai țin pasul

Claude a găsit 10.000 de bug-uri critice într-o lună — oamenii nu mai țin pasul
Susan Hill
De
4 min de citit

Un model Anthropic care nu a fost încă făcut public a găsit, într-o singură lună, peste zece mii de vulnerabilități software de severitate înaltă sau critică, în codul a circa cincizeci de organizații partenere. Modelul, cunoscut intern drept Claude Mythos Preview, a fost îndreptat către biblioteci open source, browsere și infrastructură care susține o bună parte din internetul modern. Rezultatul răstoarnă o ecuație veche din securitatea software. Găsirea bug-urilor nu mai este partea grea a muncii. Acum partea grea este să le repari.

Programul se numește Project Glasswing. Anthropic l-a lansat cu aproximativ o lună înainte de a publica această primă rundă de cifre. Aproximativ cincizeci de organizații partenere au acceptat ca modelul să scaneze codul lor de producție. Cloudflare l-a îndreptat către sistemele sale critice și a primit înapoi aproape două mii de raportări, dintre care patru sute clasificate ca înalte sau critice. Mozilla l-a pus la treabă pe Firefox și a scos la iveală 271 de defecte distincte pentru următoarea versiune majoră a browserului, de peste zece ori mai mult decât a produs aceeași echipă pe versiunea anterioară folosind Claude Opus 4.6, modelul public.

Ce înseamnă aceste cifre depinde de software-ul pe care îl folosești. Modelul a descoperit o vulnerabilitate de falsificare a certificatelor în wolfSSL, o bibliotecă criptografică prezentă în miliarde de routere de uz casnic, hub-uri smart-home și controlere industriale. Vulnerabilitatea are acum un identificator CVE, CVE-2026-5194, iar patch-ul este în distribuție. Aceeași scanare pe peste o mie de proiecte open source a produs aproximativ 6.202 incidente de severitate înaltă sau critică. Nu sunt rezultate academice pe benchmark-uri de jucărie. Sunt bug-uri în codul real care îți gestionează conexiunile criptate, tab-urile de browser și mașinile de la celălalt capăt al cablurilor.

Noul model vocal al OpenAI gândește în interiorul aceluiași loop audio, iar tăcerea care dădea IA de gol dispare

Mythos Preview nu este o versiune de Claude pe care s-o poți cumpăra. Anthropic a ales să nu o publice. Compania argumentează că același model care găsește vulnerabilități la o astfel de scară s-ar transforma, în mâini greșite, într-o fabrică industrială de exploituri. „Nicio companie”, spune anunțul, „nu a dezvoltat protecții suficient de puternice pentru a împiedica utilizarea abuzivă a unor astfel de modele.” Deocamdată, Mythos Preview trăiește în interiorul unui program controlat, cu parteneri verificați și un canal coordonat de divulgare.

Ce tip de bug-uri găsește modelul? Erori de gestionare a memoriei în biblioteci C și C++, defecte de tratare a certificatelor precum cel din wolfSSL, erori de logică în implementări de protocoale de rețea și breșe de autentificare în servicii larg răspândite. Sunt categoriile care au provocat decenii de incidente reale. UK AI Security Institute raportează că Mythos Preview este primul model testat care rezolvă de la cap la coadă ambele simulări cyber range ale sale, medii controlate care imită fluxuri întregi de atac. Firma independentă XBOW a descris modelul drept un „salt semnificativ” față de munca anterioară, cu ceea ce a numit „o precizie absolut fără precedent”.

Întrebarea care urmează, pentru oricine a lucrat cu scanere automate, este câte dintre aceste descoperiri sunt reale. Firme independente de securitate au reverificat 1.752 dintre rapoartele marcate ca înalte sau critice. Aproximativ 90,6 la sută — 1.587 dintre ele — au fost confirmate ca vulnerabilități legitime. Este un semnal mult mai curat decât rata obișnuită de zgomot a fuzzing-ului sau a uneltelor de potrivire de tipare, iar Cloudflare a comunicat că rata de fals pozitive a modelului, în propriile sale teste, a fost mai bună decât cea a membrilor umani din red team. Dar înseamnă în continuare că aproximativ unul din zece avertismente este alarmă falsă. La această scară, asta înseamnă aproximativ o mie de non-bug-uri în grămadă, fiecare dintre ele un raport pe care un om trebuie totuși să-l citească și să-l respingă.

Problema mai dură este ce se întâmplă după ce un bug real este raportat. La momentul acestei prime actualizări, doar 75 din cele 530 de vulnerabilități înalte sau critice comunicate menținătorilor erau rezolvate. Remedierea medie ia aproximativ două săptămâni. Unii menținători open source, descriși ca depășiți de situație, au cerut Anthropic să încetinească ritmul divulgărilor. „Progresul în securitatea software era limitat înainte de viteza cu care puteam găsi vulnerabilități noi”, scrie compania. „Acum este limitat de viteza cu care le putem verifica, comunica și repara.”

Pentru un utilizator obișnuit, concluzia practică nu este glamour. Software-ul pe care îl folosești astăzi, poate chiar browserul în care s-a încărcat această pagină, conține aproape sigur bug-uri critice pe care o inteligență artificială le cunoaște deja și pe care oamenii încă nu le-au reparat. Divulgarea coordonată presupune că patch-ul ajunge înainte de anunțul public, iar această ordine se păstrează doar când patch-urile sosesc la timp. Project Glasswing este, deocamdată, ancorat în Statele Unite și Regatul Unit. Cloudflare, Mozilla, UK AI Security Institute și XBOW sunt participanții menționați. Nu există un program echivalent de divulgare coordonată în majoritatea celorlalte țări. Dacă bug-urile pe care modelul le găsește în stack-uri software braziliene, indiene, japoneze sau coreene vor primi aceeași urgență rămâne o întrebare deschisă.

Anthropic spune că Project Glasswing se extinde la mai mulți parteneri. Modelul Mythos Preview rămâne în afara pieței, iar compania nu a dat un calendar pentru o lansare publică; orice deployment mai larg ar necesita, după propria sa judecată actuală, măsuri de protecție care încă nu există. O a doua actualizare este așteptată mai târziu în 2026. Indicatorul de urmărit nu va fi câte bug-uri poate găsi o IA. Va fi câte dintre ele au avut oamenii timp să rezolve.

Mai multe articole similare

Îmblânzirea conversațiilor de grup: Cum ne reproiectează WhatsApp viața socială digitală

Îmblânzirea conversațiilor de grup: Cum ne reproiectează WhatsApp viața socială digitală

Samsung Galaxy Glasses ies în această toamnă cu rame Warby Parker și Gentle Monster

Samsung Galaxy Glasses ies în această toamnă cu rame Warby Parker și Gentle Monster

Huawei lansează smartphone-ul pliabil în trei părți: HUAWEI Mate XT | ULTIMATE DESIGN

Huawei lansează smartphone-ul pliabil în trei părți: HUAWEI Mate XT | ULTIMATE DESIGN

Spotify Premium primește 1.400 de antrenamente Peloton gratuit — fără bicicletă

Spotify Premium primește 1.400 de antrenamente Peloton gratuit — fără bicicletă

StoneHold a fost dezvăluit: un hibrid între MOBA de acțiune și joc de cărți colecționabile

StoneHold a fost dezvăluit: un hibrid între MOBA de acțiune și joc de cărți colecționabile

Cerințele algoritmului Shor pentru factorizarea RSA-2048 au scăzut cu un ordin de mărime în mai puțin de un an

Cerințele algoritmului Shor pentru factorizarea RSA-2048 au scăzut cu un ordin de mărime în mai puțin de un an

Discuție

Există 0 comentarii.