🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Anthropic divulgou na sexta-feira que o Projeto Glasswing ajudou a descobrir mais de 10.000 vulnerabilidades de gravidade alta ou crítica em alguns dos softwares mais “sistemicamente” importantes em todo o mundo desde que a iniciativa de segurança cibernética foi lançada no mês passado.
O Projeto Glasswing é um esforço liderado pela empresa de inteligência artificial (IA), como parte do qual um pequeno conjunto de cerca de 50 parceiros obteve acesso ao Claude Mythos Preview, um modelo de fronteira com capacidades para encontrar vulnerabilidades em software amplamente utilizado.
Destas vulnerabilidades, 6.202 foram classificadas como falhas de gravidade alta ou crítica, afetando mais de 1.000 projetos de código aberto. A análise subsequente desses candidatos a vulnerabilidade identificou que 1.726 são verdadeiros positivos válidos. Até 1.094 falhas são avaliadas como de gravidade alta ou crítica.
Um dos pontos fracos identificados é uma falha crítica no WolfSSL (CVE-2026-5194, pontuação CVSS: 9,1) que poderia permitir que um invasor falsificasse certificados e se disfarçasse como um serviço legítimo. Ao todo, esses esforços levaram à correção de 97 descobertas a montante e à emissão de 88 alertas.
“A relativa facilidade de encontrar vulnerabilidades em comparação com a dificuldade de corrigi-las representa um grande desafio para a segurança cibernética”, reconheceu a Anthropic. "Enfrentar este desafio com sucesso tornará nosso software muito mais seguro do que antes."
O desenvolvimento ocorre no momento em que os fornecedores de software estão enviando mais correções do que nunca, impulsionados por um aumento na descoberta de vulnerabilidades assistida por IA, com a Microsoft observando que o número de novos patches que espera lançar mensalmente “continuará aumentando por algum tempo”.
A plataforma autônoma de segurança ofensiva XBOW descreveu o Mythos Preview como “um grande avanço” que é “substancialmente melhor do que os modelos anteriores para encontrar candidatos a vulnerabilidade” e “adepto à análise de código-fonte com uma mentalidade de segurança”. Análises recentes também descobriram que o modelo se destaca na transformação de vulnerabilidades em cadeias de ataque ponta a ponta.
O utilitário do Mythos Preview, acrescentou a Anthropic, vai além de encontrar falhas de segurança. Em um caso, um banco parceiro da Glasswing teria aproveitado o modelo de IA para detectar e prevenir uma transferência bancária fraudulenta de US$ 1,5 milhão depois que um agente de ameaça desconhecido violou a conta de e-mail de um cliente e fez chamadas telefônicas falsas.
Dado que modelos com capacidades semelhantes ao Mythos poderão tornar-se amplamente disponíveis num futuro próximo, a Anthropic está a encorajar os programadores de software a encurtarem os seus ciclos de patches e a disponibilizarem correções de segurança o mais rapidamente possível. Vale a pena mencionar aqui que a Oracle mudou recentemente para um ciclo mensal de patches para resolver problemas críticos de segurança.
“Os defensores da rede devem reduzir os prazos de testes e implantação de patches”, disse a Anthropic. “Isso inclui etapas como fortalecer as configurações padrão das redes, impor a autenticação multifatorial e manter registros abrangentes para detecção e resposta.”
A empresa de IA também disse que lançou um programa de verificação cibernética que permite aos profissionais de segurança usar seus modelos sem barreiras de proteção para fins legítimos, como pesquisa de vulnerabilidades, testes de penetração e red teaming. Isso é semelhante ao Daybreak da OpenAI, que também permite que os defensores aproveitem o GPT-5.5-Cyber para fluxos de trabalho especializados.
Modelos como Mythos Preview e GPT-5.5-Cyber ainda não foram divulgados ao público devido a preocupações de que atualmente não existem salvaguardas adequadas para evitar o seu uso indevido em grande escala.
“A Glasswing ajuda os defensores cibernéticos mais sistemicamente importantes a obter uma vantagem assimétrica”, ressaltou. "No entanto, há uma necessidade urgente de que o maior número possível de organizações reforcem as suas defesas cibernéticas. Esperamos que os nossos modelos geralmente disponíveis, e as novas ferramentas, recursos e investigação que estamos a fornecer para os acompanhar, apoiem essas organizações a melhorar a sua postura de segurança cibernética."
O Projeto Glasswing é um esforço liderado pela empresa de inteligência artificial (IA), como parte do qual um pequeno conjunto de cerca de 50 parceiros obteve acesso ao Claude Mythos Preview, um modelo de fronteira com capacidades para encontrar vulnerabilidades em software amplamente utilizado.
Destas vulnerabilidades, 6.202 foram classificadas como falhas de gravidade alta ou crítica, afetando mais de 1.000 projetos de código aberto. A análise subsequente desses candidatos a vulnerabilidade identificou que 1.726 são verdadeiros positivos válidos. Até 1.094 falhas são avaliadas como de gravidade alta ou crítica.
Um dos pontos fracos identificados é uma falha crítica no WolfSSL (CVE-2026-5194, pontuação CVSS: 9,1) que poderia permitir que um invasor falsificasse certificados e se disfarçasse como um serviço legítimo. Ao todo, esses esforços levaram à correção de 97 descobertas a montante e à emissão de 88 alertas.
“A relativa facilidade de encontrar vulnerabilidades em comparação com a dificuldade de corrigi-las representa um grande desafio para a segurança cibernética”, reconheceu a Anthropic. "Enfrentar este desafio com sucesso tornará nosso software muito mais seguro do que antes."
O desenvolvimento ocorre no momento em que os fornecedores de software estão enviando mais correções do que nunca, impulsionados por um aumento na descoberta de vulnerabilidades assistida por IA, com a Microsoft observando que o número de novos patches que espera lançar mensalmente “continuará aumentando por algum tempo”.
A plataforma autônoma de segurança ofensiva XBOW descreveu o Mythos Preview como “um grande avanço” que é “substancialmente melhor do que os modelos anteriores para encontrar candidatos a vulnerabilidade” e “adepto à análise de código-fonte com uma mentalidade de segurança”. Análises recentes também descobriram que o modelo se destaca na transformação de vulnerabilidades em cadeias de ataque ponta a ponta.
O utilitário do Mythos Preview, acrescentou a Anthropic, vai além de encontrar falhas de segurança. Em um caso, um banco parceiro da Glasswing teria aproveitado o modelo de IA para detectar e prevenir uma transferência bancária fraudulenta de US$ 1,5 milhão depois que um agente de ameaça desconhecido violou a conta de e-mail de um cliente e fez chamadas telefônicas falsas.
Dado que modelos com capacidades semelhantes ao Mythos poderão tornar-se amplamente disponíveis num futuro próximo, a Anthropic está a encorajar os programadores de software a encurtarem os seus ciclos de patches e a disponibilizarem correções de segurança o mais rapidamente possível. Vale a pena mencionar aqui que a Oracle mudou recentemente para um ciclo mensal de patches para resolver problemas críticos de segurança.
“Os defensores da rede devem reduzir os prazos de testes e implantação de patches”, disse a Anthropic. “Isso inclui etapas como fortalecer as configurações padrão das redes, impor a autenticação multifatorial e manter registros abrangentes para detecção e resposta.”
A empresa de IA também disse que lançou um programa de verificação cibernética que permite aos profissionais de segurança usar seus modelos sem barreiras de proteção para fins legítimos, como pesquisa de vulnerabilidades, testes de penetração e red teaming. Isso é semelhante ao Daybreak da OpenAI, que também permite que os defensores aproveitem o GPT-5.5-Cyber para fluxos de trabalho especializados.
Modelos como Mythos Preview e GPT-5.5-Cyber ainda não foram divulgados ao público devido a preocupações de que atualmente não existem salvaguardas adequadas para evitar o seu uso indevido em grande escala.
“A Glasswing ajuda os defensores cibernéticos mais sistemicamente importantes a obter uma vantagem assimétrica”, ressaltou. "No entanto, há uma necessidade urgente de que o maior número possível de organizações reforcem as suas defesas cibernéticas. Esperamos que os nossos modelos geralmente disponíveis, e as novas ferramentas, recursos e investigação que estamos a fornecer para os acompanhar, apoiem essas organizações a melhorar a sua postura de segurança cibernética."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #claude #mythos #ai #encontra #10.000 #falhas #de #alta #gravidade #em #software #amplamente #utilizado
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário