📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A empresa de inteligência artificial (IA) Anthropic revelou que seu mais recente modelo de linguagem grande (LLM), Claude Opus 4.6, encontrou mais de 500 falhas de segurança de alta gravidade anteriormente desconhecidas em bibliotecas de código aberto, incluindo Ghostscript, OpenSC e CGIF.
Claude Opus 4.6, lançado quinta-feira, vem com habilidades de codificação aprimoradas, incluindo revisão de código e recursos de depuração, além de melhorias em tarefas como análises financeiras, pesquisas e criação de documentos.
Afirmando que o modelo é “notavelmente melhor” na descoberta de vulnerabilidades de alta gravidade sem a necessidade de ferramentas específicas para tarefas, andaimes personalizados ou solicitações especializadas, a Anthropic disse que o está colocando em uso para encontrar e ajudar a corrigir vulnerabilidades em software de código aberto.
“O Opus 4.6 lê e raciocina sobre o código da mesma forma que um pesquisador humano faria – olhando para correções anteriores para encontrar bugs semelhantes que não foram resolvidos, identificando padrões que tendem a causar problemas ou entendendo uma parte da lógica bem o suficiente para saber exatamente qual entrada iria quebrá-la”, acrescentou.
Antes de sua estreia, o Frontier Red Team da Anthropic colocou o modelo em teste dentro de um ambiente virtualizado e forneceu-lhe as ferramentas necessárias, como depuradores e fuzzers, para encontrar falhas em projetos de código aberto. A ideia, disse, era avaliar as capacidades prontas para uso do modelo sem fornecer quaisquer instruções sobre como usar essas ferramentas ou fornecer informações que pudessem ajudá-lo a sinalizar melhor as vulnerabilidades.
A empresa também disse que validou todas as falhas descobertas para garantir que não foram inventadas (ou seja, alucinadas) e que o LLM foi usado como uma ferramenta para priorizar as vulnerabilidades de corrupção de memória mais graves que foram identificadas.
Alguns dos defeitos de segurança sinalizados por Claude Opus 4.6 estão listados abaixo. Desde então, eles foram corrigidos pelos respectivos mantenedores.
Analisando o histórico de commits do Git para identificar uma vulnerabilidade no Ghostscript que poderia resultar em uma falha, aproveitando uma verificação de limites ausentes
Procurando por chamadas de função como strrchr() e strcat() para identificar uma vulnerabilidade de buffer overflow no OpenSC
Uma vulnerabilidade de estouro de buffer de heap no CGIF (corrigido na versão 0.5.1)
“Esta vulnerabilidade é particularmente interessante porque ativá-la requer uma compreensão conceitual do algoritmo LZW e como ele se relaciona com o formato de arquivo GIF”, disse a Anthropic sobre o bug CGIF. “Os fuzzers tradicionais (e até mesmo os fuzzers guiados por cobertura) lutam para desencadear vulnerabilidades dessa natureza porque exigem uma escolha específica de ramificações.”
“Na verdade, mesmo que o CGIF tivesse 100% de cobertura de linhas e ramais, esta vulnerabilidade ainda poderia permanecer indetectada: ela requer uma sequência muito específica de operações”.
A empresa lançou modelos de IA como Claude como uma ferramenta crítica para os defensores “nivelarem o campo de jogo”. Mas também enfatizou que ajustará e atualizará as suas salvaguardas à medida que ameaças potenciais forem descobertas e colocará barreiras de proteção adicionais para evitar o uso indevido.
A divulgação ocorre semanas depois de a Anthropic ter dito que seus atuais modelos Claude podem ter sucesso em ataques em vários estágios a redes com dezenas de hosts usando apenas ferramentas padrão de código aberto, encontrando e explorando falhas de segurança conhecidas.
“Isso ilustra como as barreiras ao uso de IA em fluxos de trabalho cibernéticos relativamente autônomos estão diminuindo rapidamente e destaca a importância dos fundamentos de segurança, como corrigir prontamente vulnerabilidades conhecidas”, afirmou.
Claude Opus 4.6, lançado quinta-feira, vem com habilidades de codificação aprimoradas, incluindo revisão de código e recursos de depuração, além de melhorias em tarefas como análises financeiras, pesquisas e criação de documentos.
Afirmando que o modelo é “notavelmente melhor” na descoberta de vulnerabilidades de alta gravidade sem a necessidade de ferramentas específicas para tarefas, andaimes personalizados ou solicitações especializadas, a Anthropic disse que o está colocando em uso para encontrar e ajudar a corrigir vulnerabilidades em software de código aberto.
“O Opus 4.6 lê e raciocina sobre o código da mesma forma que um pesquisador humano faria – olhando para correções anteriores para encontrar bugs semelhantes que não foram resolvidos, identificando padrões que tendem a causar problemas ou entendendo uma parte da lógica bem o suficiente para saber exatamente qual entrada iria quebrá-la”, acrescentou.
Antes de sua estreia, o Frontier Red Team da Anthropic colocou o modelo em teste dentro de um ambiente virtualizado e forneceu-lhe as ferramentas necessárias, como depuradores e fuzzers, para encontrar falhas em projetos de código aberto. A ideia, disse, era avaliar as capacidades prontas para uso do modelo sem fornecer quaisquer instruções sobre como usar essas ferramentas ou fornecer informações que pudessem ajudá-lo a sinalizar melhor as vulnerabilidades.
A empresa também disse que validou todas as falhas descobertas para garantir que não foram inventadas (ou seja, alucinadas) e que o LLM foi usado como uma ferramenta para priorizar as vulnerabilidades de corrupção de memória mais graves que foram identificadas.
Alguns dos defeitos de segurança sinalizados por Claude Opus 4.6 estão listados abaixo. Desde então, eles foram corrigidos pelos respectivos mantenedores.
Analisando o histórico de commits do Git para identificar uma vulnerabilidade no Ghostscript que poderia resultar em uma falha, aproveitando uma verificação de limites ausentes
Procurando por chamadas de função como strrchr() e strcat() para identificar uma vulnerabilidade de buffer overflow no OpenSC
Uma vulnerabilidade de estouro de buffer de heap no CGIF (corrigido na versão 0.5.1)
“Esta vulnerabilidade é particularmente interessante porque ativá-la requer uma compreensão conceitual do algoritmo LZW e como ele se relaciona com o formato de arquivo GIF”, disse a Anthropic sobre o bug CGIF. “Os fuzzers tradicionais (e até mesmo os fuzzers guiados por cobertura) lutam para desencadear vulnerabilidades dessa natureza porque exigem uma escolha específica de ramificações.”
“Na verdade, mesmo que o CGIF tivesse 100% de cobertura de linhas e ramais, esta vulnerabilidade ainda poderia permanecer indetectada: ela requer uma sequência muito específica de operações”.
A empresa lançou modelos de IA como Claude como uma ferramenta crítica para os defensores “nivelarem o campo de jogo”. Mas também enfatizou que ajustará e atualizará as suas salvaguardas à medida que ameaças potenciais forem descobertas e colocará barreiras de proteção adicionais para evitar o uso indevido.
A divulgação ocorre semanas depois de a Anthropic ter dito que seus atuais modelos Claude podem ter sucesso em ataques em vários estágios a redes com dezenas de hosts usando apenas ferramentas padrão de código aberto, encontrando e explorando falhas de segurança conhecidas.
“Isso ilustra como as barreiras ao uso de IA em fluxos de trabalho cibernéticos relativamente autônomos estão diminuindo rapidamente e destaca a importância dos fundamentos de segurança, como corrigir prontamente vulnerabilidades conhecidas”, afirmou.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #claude #opus #4.6 #encontra #mais #de #500 #falhas #de #alta #gravidade #nas #principais #bibliotecas #de #código #aberto
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário