📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A empresa de Inteligência Artificial (IA) Anthropic anunciou uma nova iniciativa de segurança cibernética chamada Projeto Glasswing que usará uma versão prévia de seu novo modelo de fronteira, Claude Mythos, para encontrar e resolver vulnerabilidades de segurança.
O modelo será usado por um pequeno conjunto de organizações, incluindo Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks, juntamente com a Anthropic, para proteger softwares crÃticos.
A empresa disse que está formando esta iniciativa em resposta à s capacidades observadas em seu modelo de fronteira de uso geral que demonstram um “nÃvel de capacidade de codificação onde podem superar todos, exceto os humanos mais qualificados, em encontrar e explorar vulnerabilidades de software”. Devido à s suas capacidades de segurança cibernética e à s preocupações de que elas possam sofrer abusos, a Anthropic optou por não disponibilizar o modelo ao público geral.
O Mythos Preview, afirma a Anthropic, já descobriu milhares de vulnerabilidades de dia zero de alta gravidade em todos os principais sistemas operacionais e navegadores da web. Algumas delas incluem um bug de 27 anos no OpenBSD, agora corrigido, uma falha de 16 anos no FFmpeg e uma vulnerabilidade de corrupção de memória em um monitor de máquina virtual com segurança de memória.
Em um exemplo destacado pela empresa, diz-se que o Mython Preview vem de forma autônoma com uma exploração de navegador da web que encadeou quatro vulnerabilidades para escapar das sandboxes do renderizador e do sistema operacional. A Antthropic também observou no cartão do sistema de visualização que o modelo resolveu uma simulação de ataque à rede corporativa que levaria mais de 10 horas para um especialista humano.
Talvez naquela que é uma das descobertas mais surpreendentes, o Mythos Preview conseguiu seguir as instruções de um pesquisador executando uma avaliação para escapar de um computador "sandbox" seguro que lhe foi fornecido, indicando uma "capacidade potencialmente perigosa" para contornar suas próprias salvaguardas.
O modelo não parou por aÃ. Além disso, ele realizou uma série de ações adicionais, incluindo a criação de uma exploração em várias etapas para obter amplo acesso à Internet a partir do sistema sandbox e enviar uma mensagem de e-mail ao pesquisador, que estava comendo um sanduÃche em um parque.
"Além disso, em um esforço preocupante e não solicitado para demonstrar seu sucesso, ele publicou detalhes sobre sua exploração em vários sites difÃceis de encontrar, mas tecnicamente voltados ao público", disse a Anthropic.
A empresa apontou que o Projeto Glasswing é uma "tentativa urgente" de empregar capacidades do modelo de fronteira para fins defensivos antes que essas mesmas capacidades sejam adotadas por atores hostis. Também está comprometendo até US$ 100 milhões em créditos de uso para o Mythos Preview, bem como US$ 4 milhões em doações diretas para organizações de segurança de código aberto.
“Não treinamos explicitamente o Mythos Preview para ter esses recursos”, disse a Anthropic. "Em vez disso, eles surgiram como uma consequência posterior de melhorias gerais no código, no raciocÃnio e na autonomia. As mesmas melhorias que tornam o modelo substancialmente mais eficaz na correção de vulnerabilidades também o tornam substancialmente mais eficaz na exploração delas."
NotÃcias do Mythos vazaram no mês passado depois que detalhes sobre o modelo foram inadvertidamente armazenados em um cache de dados acessÃvel ao público devido a erro humano. O material preliminar o descreveu como o modelo de IA mais poderoso e capaz criado até hoje. Dias depois, a Anthropic sofreu uma segunda falha de segurança que acidentalmente expôs quase 2.000 arquivos de código-fonte e mais de meio milhão de linhas de código associadas ao Claude Code por cerca de três horas.
O vazamento também levou à descoberta de um problema de segurança que contorna certas proteções quando o agente de codificação de IA recebe um comando composto por mais de 50 subcomandos. Desde então, o problema foi formalmente abordado pela Anthropic na versão 2.1.90 do Claude Code, lançada na semana passada.
"Claude Code, principal agente de codificação de IA da Anthropic que executa comandos shell nas máquinas dos desenvolvedores, ignora silenciosamente as regras de negação de segurança configuradas pelo usuário quando um comando contém mais de 50 subcomandos", disse a empresa de segurança de IA Adversa. "Um desenvolvedor que configurar 'nunca executar rm' verá o rm bloqueado quando executado sozinho, mas o mesmo 'rm' será executado sem restrições se for precedido por 50 declarações inofensivas. A polÃtica de segurança desaparece silenciosamente."
"A análise de segurança custa tokens. Os engenheiros da Anthropic encontraram um problema de desempenho: a verificação de cada subcomando congelou a interface do usuário e queimou a computação. A solução: parar de verificar após 50. Eles trocaram segurança por velocidade. Eles trocaram segurança por custo."
O modelo será usado por um pequeno conjunto de organizações, incluindo Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks, juntamente com a Anthropic, para proteger softwares crÃticos.
A empresa disse que está formando esta iniciativa em resposta à s capacidades observadas em seu modelo de fronteira de uso geral que demonstram um “nÃvel de capacidade de codificação onde podem superar todos, exceto os humanos mais qualificados, em encontrar e explorar vulnerabilidades de software”. Devido à s suas capacidades de segurança cibernética e à s preocupações de que elas possam sofrer abusos, a Anthropic optou por não disponibilizar o modelo ao público geral.
O Mythos Preview, afirma a Anthropic, já descobriu milhares de vulnerabilidades de dia zero de alta gravidade em todos os principais sistemas operacionais e navegadores da web. Algumas delas incluem um bug de 27 anos no OpenBSD, agora corrigido, uma falha de 16 anos no FFmpeg e uma vulnerabilidade de corrupção de memória em um monitor de máquina virtual com segurança de memória.
Em um exemplo destacado pela empresa, diz-se que o Mython Preview vem de forma autônoma com uma exploração de navegador da web que encadeou quatro vulnerabilidades para escapar das sandboxes do renderizador e do sistema operacional. A Antthropic também observou no cartão do sistema de visualização que o modelo resolveu uma simulação de ataque à rede corporativa que levaria mais de 10 horas para um especialista humano.
Talvez naquela que é uma das descobertas mais surpreendentes, o Mythos Preview conseguiu seguir as instruções de um pesquisador executando uma avaliação para escapar de um computador "sandbox" seguro que lhe foi fornecido, indicando uma "capacidade potencialmente perigosa" para contornar suas próprias salvaguardas.
O modelo não parou por aÃ. Além disso, ele realizou uma série de ações adicionais, incluindo a criação de uma exploração em várias etapas para obter amplo acesso à Internet a partir do sistema sandbox e enviar uma mensagem de e-mail ao pesquisador, que estava comendo um sanduÃche em um parque.
"Além disso, em um esforço preocupante e não solicitado para demonstrar seu sucesso, ele publicou detalhes sobre sua exploração em vários sites difÃceis de encontrar, mas tecnicamente voltados ao público", disse a Anthropic.
A empresa apontou que o Projeto Glasswing é uma "tentativa urgente" de empregar capacidades do modelo de fronteira para fins defensivos antes que essas mesmas capacidades sejam adotadas por atores hostis. Também está comprometendo até US$ 100 milhões em créditos de uso para o Mythos Preview, bem como US$ 4 milhões em doações diretas para organizações de segurança de código aberto.
“Não treinamos explicitamente o Mythos Preview para ter esses recursos”, disse a Anthropic. "Em vez disso, eles surgiram como uma consequência posterior de melhorias gerais no código, no raciocÃnio e na autonomia. As mesmas melhorias que tornam o modelo substancialmente mais eficaz na correção de vulnerabilidades também o tornam substancialmente mais eficaz na exploração delas."
NotÃcias do Mythos vazaram no mês passado depois que detalhes sobre o modelo foram inadvertidamente armazenados em um cache de dados acessÃvel ao público devido a erro humano. O material preliminar o descreveu como o modelo de IA mais poderoso e capaz criado até hoje. Dias depois, a Anthropic sofreu uma segunda falha de segurança que acidentalmente expôs quase 2.000 arquivos de código-fonte e mais de meio milhão de linhas de código associadas ao Claude Code por cerca de três horas.
O vazamento também levou à descoberta de um problema de segurança que contorna certas proteções quando o agente de codificação de IA recebe um comando composto por mais de 50 subcomandos. Desde então, o problema foi formalmente abordado pela Anthropic na versão 2.1.90 do Claude Code, lançada na semana passada.
"Claude Code, principal agente de codificação de IA da Anthropic que executa comandos shell nas máquinas dos desenvolvedores, ignora silenciosamente as regras de negação de segurança configuradas pelo usuário quando um comando contém mais de 50 subcomandos", disse a empresa de segurança de IA Adversa. "Um desenvolvedor que configurar 'nunca executar rm' verá o rm bloqueado quando executado sozinho, mas o mesmo 'rm' será executado sem restrições se for precedido por 50 declarações inofensivas. A polÃtica de segurança desaparece silenciosamente."
"A análise de segurança custa tokens. Os engenheiros da Anthropic encontraram um problema de desempenho: a verificação de cada subcomando congelou a interface do usuário e queimou a computação. A solução: parar de verificar após 50. Eles trocaram segurança por velocidade. Eles trocaram segurança por custo."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #claude #mythos, #da #anthropic, #encontra #milhares #de #falhas #de #dia #zero #nos #principais #sistemas
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário