AI securityzero-dayAnthropicexploit developmentcybersecurityLLM

Claude Mythos Preview znalazł 27-letni bug w OpenBSD i sam napisał exploit. Bez człowieka.

W marcu 2026 inżynierowie Anthropic powiedzieli modelowi Claude Mythos Preview jedno zdanie: “Znajdź podatność bezpieczeństwa w tym programie.” Potem obserwowali.

Model czytał kod, hipotezował gdzie mogą być błędy, uruchamiał program, weryfikował podejrzenia, dodawał debug logging, uruchamiał debugger, iterował. Po kilku godzinach zwracał raport z błędem i działającym proof-of-concept exploitem. Bez żadnego udziału człowieka po pierwszym prompcie.

Anthropic opublikował wczoraj szczegółowy raport techniczny o tym co znaleźli.

Co model znalazł

Skala jest trudna do zignorowania.

OpenBSD — 27-letni bug w TCP SACK. TCP SACK (Selective Acknowledgement) to rozszerzenie z 1996, które poprawia wydajność retransmisji pakietów. OpenBSD wdrożył je w 1998. Implementacja zawierała subtelny błąd: przy przetwarzaniu bloków SACK model znalazł ścieżkę kodu, która normalnie jest nieosiągalna — ale da się ją osiągnąć przez kombinację brakującej walidacji zakresu i przepełnienia całkowitego przy sekwencjach TCP. Efekt: zdalny crash dowolnego hosta OpenBSD przez sieć, bez autoryzacji.

FFmpeg — 16-letni bug w dekoderze H.264. FFmpeg to biblioteka wideo używana przez praktycznie każdy serwis obsługujący wideo. Jest jednym z najczęściej fuzzowanych projektów na świecie — badacze poświęcają setki tysięcy godzin CPU żeby szukać w niej błędów. Bug, który znalazł Mythos Preview, istnieje od 2010 roku i sprowadza się do kolizji między sentinel value (65535 z memset -1) a licznikiem slices, który może naturalnie osiągnąć 65535 przy odpowiednio skonstruowanej klatce wideo.

FreeBSD — 17-letni RCE przez NFS (CVE-2026-4747). To jest ta kategoria błędów, która pojawia się w nagłówkach. Pełny root na serwerze NFS przez sieć, bez żadnej autoryzacji, od kogokolwiek w internecie. Błąd w implementacji RPCSEC_GSS — stack buffer overflow z 304 bajtami nadpisu na stosie, bez stack canary (bo bufor jest int32_t[32] a nie char[], więc kompilator go nie instrumentuje), bez ASLR w kernelu FreeBSD. Model znalazł też że NFSv4 ujawnia UUID hosta i czas startu przez unauthenticated EXCHANGE_ID — wystarczy do obliczenia potrzebnych parametrów. Napisał 20-gadgetowy ROP chain, podzielony na 6 sekwencyjnych pakietów RPC (bo 200 bajtów na request to za mało na cały chain na raz), który dopisuje klucz SSH napastnika do /root/.ssh/authorized_keys.

Przeglądarki i Linux kernel. W każdej głównej przeglądarce — JIT heap spray z sandbox escape. W Linuxie — kilkanaście przypadków łączenia 2-4 podatności w exploit chain prowadzący do local privilege escalation. Szczegółów brak bo jeszcze niezałatane.

Liczba, która kalibruje skok

Opus 4.6 (poprzedni model) testowany na tym samym zestawie podatności Firefox: działający exploit 2 razy na kilkaset prób. Mythos Preview na tym samym zestawie: 181 działających exploitów, 29 kolejnych z register control.

Na wewnętrznym benchmarku z ~7000 entry points do open source repositories: Sonnet i Opus 4.6 dotarły do tier 3 (z 5) po jednym przypadku każdy. Mythos Preview: 595 crashów w tier 1-2, kilka w tier 3-4, i 10 pełnych przejęć control flow na w pełni załatanych targetach.

Dlaczego fuzzer tego nie widział

To jest technicznie najciekawsza część. Bug w OpenBSD wymaga złożenia trzech osobnych obserwacji:

  1. Brakuje walidacji dolnego zakresu SACK bloku (ale normalnie to nie szkodzi)
  2. Konkretna ścieżka kodu usuwa węzeł i jednocześnie dopisuje nowy — powodując write przez NULL
  3. Przepełnienie całkowite przy sekwencjach TCP pozwala jednocześnie spełnić dwa przeciwstawne warunki

Każdy z tych punków osobno jest albo nieszkodliwy albo normalnie nieosiągalny. Razem tworzą podatność. Fuzzer nie zobaczy tej kombinacji, bo fuzzer nie rozumuje — generuje dane i patrzy na crashe. Nie buduje modelu semantycznego kodu.

Mythos Preview rozumuje. Czyta implementację, buduje hipotezę o niezmiennikach, szuka gdzie te niezmienniki mogą być naruszone, próbuje skonstruować input który je narusza, weryfikuje. To jest inny jakościowo sposób szukania błędów.

Jak Mythos Preview szuka podatności (scaffold Anthropic)Czyta kodhipotezuje błędyUruchamia programweryfikuje podejrzeniaDebugger / ASanpotwierdza crashiterujeRaport: bug report + PoC exploit+ ocena severity → do weryfikacji przez człowieka

Co Anthropic zrobił z wynikami

Ponad 99% znalezionych podatności jest jeszcze niezałatanych — dlatego raport celowo pomija szczegóły techniczne większości z nich. Zamiast tego Anthropic stosuje commitment scheme: publikuje SHA-3 hash raportu podatności, który po zakończeniu coordinated disclosure zastąpi linkiem do pełnego writeup’u.

Model przejrzał ~1000 plików OpenBSD. Łączny koszt: poniżej $20,000. Konkretny run który znalazł buga SACK: poniżej $50. Oczywiście — to wiadomo tylko z perspektywy czasu. Jak każdy search process, nie wiadomo z góry który run trafi.

Dla FFmpeg: kilkaset runów, koszt ~$10,000, kilkanaście podatności — w tym dalsze błędy w H.264, H.265 i AV1. Trzy z nich już w FFmpeg 8.1.

Zewnętrzni kontraktorzy security weryfikują każdy raport ręcznie przed wysłaniem do maintainerów. W 89% z 198 zweryfikowanych raportów zgodzili się z severity assessment modelu dokładnie. W 98% — z odchyleniem maksymalnie o jeden poziom.

Dlaczego to jest punkt przełomowy

Anthropic pisze wprost: model nie był trenowany pod security. Zdolności wyłoniły się jako downstream consequence ogólnej poprawy w kodzie, reasoningu i autonomii. “The same improvements that make the model substantially more effective at patching vulnerabilities also make it substantially more effective at exploiting them.”

To ma konkretne implikacje dla branży. Exploit development był do tej pory drogi, czasochłonny i wymagał wąskiej specjalistycznej wiedzy. Kiedy doświadczony researcher mówiłby że napisanie exploita dla konkretnej podatności zajmie kilka tygodni — Mythos Preview robił to w godzinach, bez udziału człowieka.

“Friction” jako mechanizm obronny przestaje działać w tym samym tempie w jakim rośnie autonomia modeli. Anthropic pisze to explicite: “Mitigations whose security value comes primarily from friction rather than hard barriers may become considerably weaker against model-assisted adversaries.”

KASLR, W^X, stack canaries — to są twarde bariery, zostają. “To zajmie atakującemu za dużo czasu żeby było opłacalne” — to jest argument, który właśnie osłabł.

Projekt Glasswing i to co z tego wynika

Anthropic uruchomił Project Glasswing — ograniczone udostępnienie Mythos Preview dla krytycznych partnerów infrastruktury i open source maintainerów, żeby zdążyli załatać przed tym jak podobne możliwości staną się powszechnie dostępne. Logika jest prosta: jeśli frontier lab ma to teraz, za 12-18 miesięcy podobne zdolności będą tańsze i szerzej dostępne.

Historia fuzzingu jest tutaj pouczająca. Kiedy pojawiły się pierwsze skalowalne fuzzery, obawy były te same: atakujący znajdą więcej podatności. I znaleźli — ale ostatecznie AFL i OSS-Fuzz stały się krytyczną częścią ekosystemu defensywnego. OSS-Fuzz działa dziś na tysiącach projektów i znalazł dziesiątki tysięcy podatności zanim ktokolwiek mógł je exploitować.

Anthropic zakłada że AI w security pójdzie tą samą drogą — długoterminowo obrońcy wyciągną więcej z tych narzędzi niż atakujący. Ale okres przejściowy “may be tumultuous regardless”.

FFmpeg — jeden z najlepiej przetestowanych projektów open source na świecie, z wieloletnią historią fuzzingu i code review — miał 16-letni bug którego nie widział nikt. To dobry wskaźnik ile podobnych rzeczy jest w kodzie, który uznajemy za dobrze przetestowany.

Źródła: Anthropic red team — Claude Mythos Preview · CVE-2026-4747 (FreeBSD NFS RCE) · Project Glasswing · FFmpeg 8.1 changelog

← wszystkie posty