Az Anthropic MI-fejlesztő vállalat bejelentette, hogy legújabb nagy nyelvi modellje (LLM), a Claude Opus 4.6 több mint 500, korábban ismeretlen, magas súlyosságú sérülékenységet azonosított különböző széles körben használt nyílt forráskódú könyvtárakban.

A csütörtökön bevezetett Claude Opus 4.6 továbbfejlesztett programozási és kódelemzési képességekkel rendelkezik úgymint: kódellenőrzés, hibakeresés, valamint komplex elemzési feladatok, például pénzügyi modellezés, kutatási munkák támogatása és dokumentumkészítés. A vállalat szerint a modell különösen hatékony a magas súlyosságú sebezhetőségek azonosításában, és mindezt feladatspecifikus eszközök, egyedi keretrendszerek vagy speciális promptolás nélkül képes elérni.

Az Anthropic a Claude Opus 4.6 működését ahhoz hasonlítja, ahogyan egy tapasztalt kiberbiztonsági kutató elemzi a forráskódot. A modell képes korábbi javítások alapján hasonló, de eddig nem kezelt hibák felismerésére, problémás kódminták azonosítására, valamint a programlogika olyan mélységű megértésére, amely lehetővé teszi a sebezhetőséget kiváltó konkrét bemenetek meghatározását.

A megjelenést megelőzően az Anthropic Frontier Red Team virtualizált környezetben végzett átfogó tesztelést a modellen. A kísérletek során a Claude Opus 4.6 hozzáférést kapott olyan általánosan használt biztonsági eszközökhöz, mint a hibakeresők és a fuzzerek, ugyanakkor nem kapott útmutatást azok használatára, és nem biztosítottak számára előzetes információkat a vizsgált sebezhetőségekről. A cél az volt, hogy felmérjék a modell alapértelmezett képességeit.

A vállalat hangsúlyozta, hogy minden azonosított sebezhetőséget külön validáltak, annak érdekében, hogy kizárják a mesterséges intelligenciára jellemző hallucinációk lehetőségét. A modellt emellett a legsúlyosabb, memória korrupciós sebezhetőségek priorizálására is használták. A nyilvánosságra hozott példák között szerepel egy határellenőrzés hiányára visszavezethető Ghostscript összeomlást okozó hiba, egy OpenSC-ben azonosított puffertúlcsordulás, valamint egy, a CGIF könyvtárat érintő heap-puffertúlcsordulási sérülékenység is, amely azóta javításra került. Az Anthropic kiemelte, hogy bizonyos sebezhetőségek, például a CGIF-ben talált hiba, olyan mély algoritmikus és formátumspecifikus megértést igényelnek, amely a hagyományos fuzzing technikák számára nehezen elérhető, még teljes kódlefedettség mellett is.

A vállalat szerint az olyan MI-modellek, mint a Claude, kulcsszerepet játszhatnak a védelmi oldalon az erőviszonyok kiegyenlítésében. Ugyanakkor hangsúlyozta a biztonsági kontrollok folyamatos frissítésének fontosságát, különösen annak fényében, hogy a jelenlegi modellek már képesek összetett, többlépcsős támadási forgatókönyvek végrehajtására is, kizárólag nyílt forráskódú eszközökre és már ismert sebezhetőségekre támaszkodva.

(forrás, forrás)