Cloudflare đã tiết lộ Kết quả Kiểm tra Thực của Anthropic Mythos: đã có thể tự viết mã, kết nối các lỗ hổng thấp thành chuỗi tấn công đầy đủ

Theo theo dõi của Beating Motion, Cloudflare đã công bố kết quả thử nghiệm tham gia dự án an ninh nội bộ Anthropic Project Glasswing. Trong quá trình kiểm thử trên hơn 50 kho lưu trữ mã nguồn của mình, Cloudflare đã xác nhận rằng mô hình an ninh Mythos Preview đã vượt qua được hạn chế của mô hình lớn trước đây. Nó không chỉ có thể phát hiện các lỗi hệ thống cô lập, mà còn có khả năng kết hợp nhiều lỗi nhỏ thành một và tạo ra bằng chứng tấn công thực thi tự động (PoC).

Trước đây, Opus 4.7 hoặc GPT-5.5 thường dừng lại ở giai đoạn báo cáo phân tích lỗi đầu ra trong quá trình kiểm thử. Mythos có khả năng xác thực vòng lặp đóng hộp cát. Nó sẽ viết mã kích hoạt lỗi và biên dịch chạy, nếu thất bại thì mô hình sẽ tự đọc thông tin lỗi, điều chỉnh giả thuyết và thử lại cho đến khi hoàn toàn thâm nhập chuỗi tấn công.

Cloudflare đã tiết lộ rằng một số nhóm an ninh trong ngành đã phải tuân thủ tiêu chuẩn cực độ là hoàn thành việc vá lỗi trong vòng 2 giờ. Tuy nhiên, Cloudflare nhấn mạnh rằng việc chỉ tập trung vào việc rút ngắn thời gian vá lỗi có thể gây ra hỏng hóc hệ thống lớn hơn do bỏ qua kiểm thử hồi quy, tương lai của phòng thủ phải chuyển sang việc cắt đứt tính liên kết mã nguồn từ mức kiến trúc.

Trong lịch trình kỹ thuật, Cloudflare phát hiện rằng một đơn vị lập trình duy nhất sẽ nhanh chóng tiêu tốn ngữ cảnh và không thể xử lý tìm lỗi quy mô lớn. Họ đã xây dựng một framework đấu tranh song song, để một đơn vị lập trình tìm lỗi trong một phạm vi rất hẹp, đồng thời sắp xếp một đơn vị khác chứa mô hình khác để phản bác kết luận của đơn vị trước. Cơ chế đấu tranh này đã lọc mạnh mẽ ra các tạp âm báo cáo lỗi rất phổ biến trong quá trình quét mô hình.

Vì bản dùng thử không có hạn chế bên ngoài được sử dụng trong thử nghiệm này, Mythos đã cho thấy một cuộc chiến nhiều bất ổn với rào cản nội bộ. Đối diện với cùng một đoạn mã mục tiêu, chỉ cần thay đổi mô tả ngữ cảnh của môi trường chạy, mô hình từ việc từ chối thực thi chuyển sang cung cấp cuộc tấn công trực tiếp. Cloudflare cảnh báo rằng rào cản nội sinh do mô hình tạo ra vô cùng yếu kém, và trong tương lai khi ra mắt cho công chúng, nó phải buộc phải chồng lên một đường bảo vệ bao ngoài.