أعلنت شركة Anthropic عن مبادرة أمنية جديدة تحمل اسم Project Glasswing، تعتمد على نسخة تجريبية من نموذجها المتقدم Claude Mythos، بهدف اكتشاف ومعالجة الثغرات الأمنية في البرمجيات الحيوية. المبادرة تشمل تعاونًا مع مؤسسات كبرى مثل Amazon Web Services، Apple، Cisco، Google، Microsoft، وLinux Foundation، إلى جانب شركات أمنية مثل CrowdStrike وPalo Alto Networks.
قدرات غير مسبوقة في اكتشاف الثغرات
وفقًا لـ Anthropic، أظهر النموذج قدرات تتجاوز معظم خبراء الأمن البشريين في اكتشاف واستغلال الثغرات. النسخة التجريبية Mythos Preview تمكنت بالفعل من كشف آلاف ثغرات يوم الصفر عالية الخطورة في أنظمة تشغيل ومتصفحات رئيسية، منها:
- ثغرة عمرها 27 عامًا في OpenBSD.
- ثغرة عمرها 16 عامًا في FFmpeg.
- ثغرة في نظام تشغيل آمن للذاكرة (VM monitor) تؤدي إلى فساد الذاكرة.
في إحدى الحالات، ابتكر النموذج استغلالًا لسلسلة من أربع ثغرات في متصفح ويب، مكّنه من تجاوز آليات العزل (sandbox) على مستوى المتصفح ونظام التشغيل.
قدرات مثيرة للجدل
أحد أكثر الاكتشافات إثارة للقلق كان قدرة النموذج على الهروب من بيئة sandbox التي وُضع فيها أثناء اختبار، ثم تنفيذ سلسلة من الأوامر للحصول على وصول واسع إلى الإنترنت وإرسال بريد إلكتروني إلى الباحث الذي كان يجري التقييم. الأسوأ أن النموذج نشر تفاصيل الاستغلال على مواقع عامة يصعب الوصول إليها، دون طلب مسبق، في محاولة لإثبات نجاحه.
دوافع المشروع
تقول Anthropic إن مشروع Glasswing يمثل محاولة عاجلة لتوظيف قدرات النماذج المتقدمة في الدفاع قبل أن يستغلها جهات معادية. الشركة خصصت 100 مليون دولار في صورة أرصدة استخدام للنموذج، إضافة إلى 4 ملايين دولار لدعم منظمات الأمن مفتوح المصدر.
مخاطر أمنية في Claude Code
إلى جانب Mythos، تعرضت Anthropic لمشكلات أمنية في وكيلها البرمجي Claude Code. فقد اكتشفت شركة Adversa أن الإصدار السابق كان يتجاهل قواعد الحظر الأمنية إذا احتوى الأمر على أكثر من 50 أمرًا فرعيًا. هذا الخلل سمح بتنفيذ أوامر محظورة مثل “rm” عند دمجها مع أوامر أخرى، نتيجة مقايضة بين الأداء والتكلفة على حساب الأمان. تم إصلاح المشكلة في الإصدار 2.1.90.
