I ricercatori di Mozilla hanno riferito a marzo che Claude Opus 4.6 di Anthropic ha identificato 14 bug di elevata gravità e 22 vulnerabilità ed esposizioni comuni (CVE) nell’arco di due settimane, superando le prestazioni del team umano di Mozilla. In seguito, i ricercatori della società di sicurezza informatica Calif di Palo Alto hanno affermato di aver utilizzato una versione di prova del modello Mythos di Anthropic per aggirare la tecnologia di sicurezza macOS di Apple.
I ricercatori californiani hanno informato il Wall Street Journal di aver eseguito un “exploit di escalation dei privilegi” combinato con un altro vettore di attacco, consentendo il potenziale controllo su un dispositivo bersaglio. Hanno sviluppato un software che collegava due bug distinti e utilizzava metodi aggiuntivi per corrompere la memoria di un Mac e accedere ad aree riservate del dispositivo.
La scoperta dell’exploit ha richiesto cinque giorni e i ricercatori hanno notato che il successo dipendeva non solo da Mythos ma anche dalle capacità dei tester umani. Apple sta attualmente esaminando i risultati del rapporto, con un portavoce che afferma: “La sicurezza è la nostra massima priorità e prendiamo molto sul serio le segnalazioni di potenziali vulnerabilità”.
Anthropic aveva lanciato Mythos, originariamente chiamato Project Glasswing, in aprile, garantendo l’accesso a circa 40 aziende tecnologiche selezionate. La società ha dichiarato che Mythos ha identificato migliaia di vulnerabilità di elevata gravità nei principali sistemi operativi e browser Web, avvertendo di gravi conseguenze se tali strumenti vengono utilizzati in modo improprio.
Michał Zalewski, ricercatore di sicurezza presso Google, ha esaminato la ricerca in California ma non ha testato i risultati. Ha commentato l’hype che circonda Mythos, descrivendolo come forse “esagerato”, ma ha riconosciuto la sua capacità di effettuare ricerche significative sulle vulnerabilità e verificare il codice.
Sono emerse preoccupazioni riguardo alla distribuzione di Mythos. Gary McGraw, ex vicepresidente di Synopsys, ha osservato al New York Times che la tecnologia in sé non è troppo pericolosa da rilasciare. Ha sottolineato che trattenere tali strumenti non risolve le questioni fondamentali della sicurezza informatica.
