Claude Mythos có thể xâu chuỗi bốn lỗ hổng chỉ trong một đêm. Dự án Glasswing của Anthropic báo hiệu rằng mô hình bảo mật của Web3 đã lỗi thời.
Anthropic lặng lẽ xác nhận điều gì đó mà ngành công nghiệp blockchain lẽ ra phải lo sợ. Mô hình biên giới chưa được phát hành của nó, Claude Mythos, đã vượt qua ngưỡng mà các nhà nghiên cứu bảo mật đã dành nhiều năm hy vọng sẽ không bao giờ đạt đến. Các kỹ sư không có nền tảng bảo mật giờ đây có thể nhắc nhở nó qua đêm và bắt đầu khai thác thực thi mã từ xa đang hoạt động.
Đó không phải là lời cảnh báo về tương lai. Nó đã xảy ra rồi.
Theo alicharts trên X, Mythos đã xác định được một lỗi 27 năm tuổi trong OpenBSD đã bị con người bỏ qua trong nhiều thập kỷ. Mô hình tương tự đã xâu chuỗi bốn lỗ hổng riêng biệt để thoát khỏi hộp cát của trình duyệt. Nhiệm vụ đó thường khiến các đội ngũ nhân lực ưu tú phải mất hàng tháng để hoàn thành.
Điều Web3 từ chối thừa nhận
nhân loại công bố chi tiết trực tiếp. Ngôn ngữ có chủ ý và rõ ràng. Mythos Preview đã tìm thấy hàng nghìn lỗ hổng có mức độ nghiêm trọng cao, bao gồm một số lỗ hổng trong mọi hệ điều hành và trình duyệt web chính. Các giao thức chuỗi khối, phụ thuộc vào việc kiểm tra định kỳ của con người, nằm ngay trong tầm ngắm đó.
Dự án Glasswing chính là câu trả lời. Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks và Linux Foundation đã tham gia nỗ lực. Anthropic cam kết tín dụng sử dụng lên tới 100 triệu đô la để triển khai mô hình phòng thủ. 4 triệu USD khác được chuyển trực tiếp đến các tổ chức bảo mật nguồn mở.
Khung hình từ Anthropic rất rõ ràng. Các khả năng AI như Mythos sẽ sinh sôi nảy nở và chúng sẽ tiếp cận những tác nhân không cam kết triển khai chúng một cách an toàn. Hậu quả đối với an toàn công cộng và an ninh quốc gia có thể rất nghiêm trọng.
Khai thác doanh thu từ các cuộc tấn công được hỗ trợ bởi AI vào hợp đồng thông minh chuỗi khốiđã tăng gấp đôi khoảng 1,3 tháng một lần. Quỹ đạo đó có trước khi Mythos ra mắt công chúng.
Kiểm toán định kỳ đã chết
Như alicharts đã lưu ý trên X, mô hình đánh giá bảo mật định kỳ truyền thống đã kết thúc. Các giao thức chuỗi khối không tích hợp khả năng che chắn AI tự động vào ngăn xếp của chúng sẽ bị thế hệ tác nhân đối nghịch tiếp theo loại bỏ. Bài đăng X đã mô tả Mythos là một kẻ giết người đặc biệt vì khả năng chuỗi tấn công nhiều bước của nó.
Điều đó phù hợp với những gì Bản PDF nghiên cứu riêng của Anthropiccho thấy. Nghiên cứu của Mythos Preview đã đánh dấu mức tăng tốc đủ mạnh để yêu cầu hành động ngay bây giờ chứ không phải sau lần vi phạm giao thức lớn tiếp theo.
các Trang xem trước Glasswingđã trình bày vấn đề cốt lõi một cách rõ ràng: Khả năng mã hóa AI đã vượt qua tất cả, trừ những con người có kỹ năng nhất trong việc tìm kiếm và khai thác các lỗ hổng. Các giao thức Web3, nhiều trong số đó vẫn dựa vào hoạt động kiểm tra không thường xuyên của bên thứ ba, không được xây dựng dựa trên mô hình mối đe dọa này.
Giao thức cho vay Moonwell DeFi đã mất khoảng 1,78 triệu USD trong một sự cố riêng biệt nhưng có liên quan đến mã được hỗ trợ bởi AI. Kiểm toán viên hợp đồng thông minh Pashov đã gắn cờ cho X điều mà anh ấy mô tả là có thể là lần khai thác đầu tiên gắn trực tiếp với Solidity được mã hóa rung cảm. Người đánh giá con người vẫn đăng xuất. Đó chính là lỗ hổng mà Mythos khai thác. Hình ảnh đầy đủ về cách Claude đang định hình lại việc kiểm tra mã Web3đã phát triển trong nhiều tháng.
Nỗ lực quốc phòng trị giá 100 triệu USD, không đảm bảo
Bốn mươi tổ chức khác đang xây dựng hoặc duy trì cơ sở hạ tầng phần mềm quan trọng đã có quyền truy cập sớm vào Mythos Preview để quét phòng thủ. Nhân chủng học đã rõ ràng. Không một tổ chức nào có thể giải quyết vấn đề này một mình. Khả năng của Frontier AI có thể sẽ tiến bộ đáng kể chỉ trong vài tháng tới.
Web3 không có tên trong liên minh Glasswing ban đầu. Sự vắng mặt đó đang nói lên điều đó.
Cuộc đua giữa các cuộc tấn công được hỗ trợ bởi AI và phòng thủ được hỗ trợ bởi AI hiện là cuộc kiểm tra duy nhất quan trọng. Các giao thức chuỗi khối dựa vào đánh giá bảo mật thủ công đang hoạt động với một mô hình đã lỗi thời trước khi Mythos được công bố.
Nguồn: Live Bitcoin News
Để lại một bình luận