La empresa de inteligencia industrial (IA) Anthropic reveló que su zaguero maniquí de idioma vasto (LLM), Claude Opus 4.6, ha antitético más de 500 fallas de seguridad de adhesión empeoramiento previamente desconocidas en bibliotecas de código hendido, incluidas Ghostscript, OpenSC y CGIF.
Claude Opus 4.6, que se lanzó el jueves, viene con habilidades de codificación mejoradas, incluidas capacidades de revisión y depuración de código, inmediato con mejoras en tareas como examen financieros, investigación y creación de documentos.
Al afirmar que el maniquí es “notablemente mejor” para descubrir vulnerabilidades de adhesión empeoramiento sin requerir herramientas específicas para tareas, andamios personalizados o indicaciones especializadas, Anthropic dijo que lo está utilizando para encontrar y ayudar a corregir vulnerabilidades en software de código hendido.
“Opus 4.6 lee y razona sobre el código de la misma guisa que lo haría un investigador humano: mirando correcciones pasadas para encontrar errores similares que no fueron solucionados, detectando patrones que tienden a causar problemas o entendiendo una dormitorio de deducción lo suficientemente perfectamente como para asimilar exactamente qué entrada la rompería”, agregó.
Antaño de su première, Frontier Red Team de Anthropic puso a prueba el maniquí internamente de un entorno virtualizado y le proporcionó las herramientas necesarias, como depuradores y fuzzers, para encontrar fallas en proyectos de código hendido. La idea, dijo, era evaluar las capacidades listas para usar del maniquí sin proporcionar instrucciones sobre cómo usar estas herramientas o proporcionar información que pudiera ayudarlo a identificar mejor las vulnerabilidades.
La compañía incluso dijo que validó cada rotura descubierta para cerciorarse de que no fuera inventada (es sostener, alucinada) y que el LLM se utilizó como útil para priorizar las vulnerabilidades de corrupción de memoria más graves que se identificaron.
Algunos de los defectos de seguridad señalados por Claude Opus 4.6 se enumeran a continuación. Desde entonces, han sido parcheados por los respectivos mantenedores.
- Analizar el historial de confirmaciones de Git para identificar una vulnerabilidad en Ghostscript que podría provocar un interrupción al utilizar una demostración de límites faltantes
- Búsqueda de llamadas a funciones como strrchr() y strcat() para identificar una vulnerabilidad de desbordamiento del búfer en OpenSC
- Una vulnerabilidad de desbordamiento del búfer de montón en CGIF (corregido en la traducción 0.5.1)
“Esta vulnerabilidad es particularmente interesante porque activarla requiere una comprensión conceptual del cálculo LZW y cómo se relaciona con el formato de archivo GIF”, dijo Anthropic sobre el error CGIF. “Los fuzzers tradicionales (e incluso los fuzzers guiados por cobertura) luchan por desencadenar vulnerabilidades de esta naturaleza porque requieren una votación particular de ramas”.
“De hecho, incluso si CGIF tuviera una cobertura de líneas y sucursales del 100%, esta vulnerabilidad aún podría advenir desapercibida: requiere una secuencia de operaciones muy específica”.
La compañía ha presentado modelos de IA como Claude como una útil fundamental para que los defensores “nivelen el campo de charnela”. Pero incluso enfatizó que ajustará y actualizará sus salvaguardas a medida que se descubran amenazas potenciales y establecerá barreras de seguridad adicionales para evitar el uso indebido.
La divulgación se produce semanas posteriormente de que Anthropic dijera que sus modelos Claude actuales pueden tener éxito en ataques de múltiples etapas en redes con docenas de hosts utilizando solo herramientas tipificado de código hendido al encontrar y explotar fallas de seguridad conocidas.
“Esto ilustra cómo las barreras al uso de la IA en flujos de trabajo cibernéticos relativamente autónomos están disminuyendo rápidamente y resalta la importancia de los fundamentos de seguridad, como parchear rápidamente las vulnerabilidades conocidas”, dijo.
