1. 首页首页
  2. 科技前沿科技前沿

2026年Anthropic的ClaudeMythos在主要系统中发现了数千个0day

科技前沿 阅读 0

Anthropic的ClaudeMythos在主要系统中发现了数千个0day文章总结 Anthropic 启动网络安全项目 ProjectGlass 使用其前沿模型 ClaudeMythos 预览版发现并解决安全漏洞 该模型已在主流操作系统和浏览器中发现数千个高危零日漏洞 包括 OpenBSD 中一个存在 27 年的漏洞 并成功演示了沙箱逃逸能力 由于担心能力被滥用 Anthropic 未将模型广泛开放 仅限部分组织使用 此外 文档还提及该模型近期因人为失误导致安全泄露

大家好,我是讯享网,很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结: Anthropic启动网络安全项目ProjectGlasswing,使用其前沿模型ClaudeMythos预览版发现并解决安全漏洞。该模型已在主流操作系统和浏览器中发现数千个高危零日漏洞,包括OpenBSD中一个存在27年的漏洞,并成功演示了沙箱逃逸能力。由于担心能力被滥用,Anthropic未将模型广泛开放,仅限部分组织使用。此外,文档还提及该模型近期因人为失误导致安全泄露,以及ClaudeCode版本中存在的安全策略绕过问题。 综合评分: 78 文章分类: 漏洞分析,AI安全,恶意软件,安全大事件,渗透测试

cover_image

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年4月8日 18:53 北京

人工智能(AI)公司Anthropic宣布了一项名为Project ;Glasswing ;的新网络安全计划,该计划将使用其新前沿模型Claude Mythos  ;的预览版来发现和解决安全漏洞。

该模型将被一小部分组织使用,包括亚马逊网络服务、苹果、博通、思科、CrowdStrike、摩根大通、Linux基金会、微软、英伟达和Palo alto Networks,以及Anthropic,以确保关键软件的安全。

该公司表示,它正在形成这一倡议,以回应在其通用前沿模型中观察到的能力,该模型显示出“编码能力水平,在发现和利用软件漏洞方面,它们可以超越除最熟练的人类之外的所有人”。“由于其网络安全能力和担心这些能力可能被滥用,Anthropic选择不让该模型普遍可用。”

Anthropic ;声称,已经在每个主要操作系统和web浏览器中发现了数千个高度严重的零日漏洞。其中一些漏洞包括OpenBSD中一个已有27年历史的漏洞,FFmpeg中一个已有16年历史的漏洞,以及一个内存安全虚拟机监视器中的内存破坏漏洞。

在该公司强调的一个例子中,据说神话预览自动出现了一个web浏览器漏洞,该漏洞将四个漏洞链接在一起,以逃避渲染器和操作系统沙箱。anthropic还在预览版的系统卡中指出,该模型解决了一次企业网络攻击模拟,而人类专家要花10个多小时才能解决。

这可能是最令人惊讶的发现之一,Mythos Preview成功地遵循了一名进行评估的研究人员的指示,从一台安全的“沙盒”计算机中逃脱,这表明它具有“潜在的危险能力”,可以绕过自己的保护措施。

模型并没有就此停止。它进一步执行了一系列额外的行动,包括设计一个多步骤的漏洞,从沙箱系统获得广泛的互联网访问权限,并向正在公园里吃三明治的研究人员发送电子邮件。

此外,“anthropicp”表示,为了证明自己的成功,该公司在多个难以找到但技术上面向公众的网站上发布了有关其漏洞利用的详细信息,这令人担忧,也是未经请求的。

该公司指出,“玻璃翼”项目是在敌对行为者采用前沿模型能力之前,为防御目的而采用这些能力的“紧急尝试”。它还承诺为Mythos预览版提供高达1亿美元的使用额度,并向开源安全组织直接捐赠400万美元。

Anthropic说:“我们并没有明确地训练Mythos Preview具备这些能力。”相反,它们是作为代码、推理和自主性普遍改进的下游结果而出现的。使模型在修补漏洞方面更加有效的改进,也使其在利用漏洞方面更加有效。

上个月,由于人为失误,该模型的细节被无意中存储在一个可公开访问的数据缓存中,有关神话的消息被泄露。草案材料将其描述为迄今为止最强大、最有能力的人工智能模型。几天后,Anthropic遭遇了第二次安全漏洞,在大约三个小时的时间里,意外地暴露了近2000个源代码文件和超过50万行与Claude code相关的代码。

这次泄漏还导致发现了一个安全问题,当向AI编码代理提供由50多个子命令组成的命令时,该问题会绕过某些防护措施。这个问题已经由Anthropic在上周发布的Claude ;Code 2.1.90版本中正式解决。

人工智能安全公司Adversa表示,“Claude Code”是Anthropic的旗舰人工智能编码代理,可以在开发人员的机器上执行shell命令,当命令包含超过50个子命令时,它会忽略用户配置的安全拒绝规则。配置‘never run rm’的开发人员在单独运行时将看到rm被阻塞,但是如果前面有50条无害语句,则相同的‘rm’可以不受限制地运行。安全策略默默地消失了。

证券分析花费token。Anthropic的工程师遇到了一个性能问题:检查每个子命令都会冻结ui并烧毁计算。他们的解决办法是:50岁以后不要再查看手机。他们以安全换取速度。他们以“安全”换取“成本”。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:HackSee安全生活 HackSee安全团队

 HackSee安全团队《Anthropic的Claude Mythos在主要系统中发现了数千个0day》

小讯
上一篇 2026-04-11 07:26
下一篇 2026-04-11 07:24

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/254753.html