Evaluación de las capacidades de ciberseguridad de Claude Mythos Preview

 (red.anthropic.com)
10 puntos por GN⁺ 22 일 전 | 1 comentarios | Compartir por WhatsApp
  • Claude Mythos Preview de Anthropic, pese a ser un modelo de lenguaje de propósito general, mostró un nivel sin precedentes de capacidad para descubrir vulnerabilidades y desarrollar exploits en ciberseguridad, lo que llevó al lanzamiento de Project Glasswing para reforzar la seguridad del software crítico a nivel mundial
  • Mythos Preview puede identificar de forma autónoma vulnerabilidades zero-day y escribir exploits en todos los principales sistemas operativos y navegadores web
  • Encontró por sí solo vulnerabilidades no detectadas durante décadas en OpenBSD, FFmpeg, FreeBSD y otros, y generó código de ataque completo
  • Mientras que el modelo anterior, Opus 4.6, solo logró 2 éxitos tras cientos de intentos para explotar una vulnerabilidad del motor JavaScript de Firefox, Mythos Preview desarrolló 181 exploits funcionales, mostrando un salto cualitativo en sus capacidades
  • Estas capacidades surgieron de forma natural a partir de una mejora general en código, razonamiento y autonomía, sin entrenamiento explícito en seguridad, y esas mismas mejoras también elevaron su capacidad para parchear vulnerabilidades
  • Anthropic no planea publicar Mythos Preview para el público general, sino ofrecer un acceso restringido a socios clave de industrias críticas y desarrolladores open source, con el fin de fortalecer las defensas antes de que modelos con capacidades similares se distribuyan ampliamente

Qué significa Claude Mythos Preview para la ciberseguridad

  • Tiene la capacidad de identificar y explotar vulnerabilidades zero-day en todos los principales sistemas operativos y navegadores web
    • Muchas de las vulnerabilidades encontradas tenían entre 10 y 20 años de antigüedad; el caso más viejo fue un bug de 27 años en OpenBSD, conocido por su seguridad (enlace al parche)
  • Va más allá de simples stack overflows: puede escribir exploits complejos como JIT heap spraying, evasión de KASLR y encadenamiento de múltiples vulnerabilidades
  • Incluso ingenieros de Anthropic sin entrenamiento formal en seguridad reportaron casos donde dejaron solicitudes durante la noche y a la mañana siguiente encontraron un exploit RCE completamente funcional
  • Opus 4.6 logró explotar una vulnerabilidad del motor JS de Firefox 147 solo 2 veces tras cientos de intentos. Mythos Preview tuvo 181 éxitos en el mismo experimento, y además consiguió control de registros en 29 ocasiones adicionales
  • En benchmarks internos sobre ~7,000 entry points del corpus OSS-Fuzz, Sonnet y Opus 4.6 solo lograron 1 caso cada uno en Tier 3, mientras que Mythos Preview alcanzó Tier 5 (secuestro completo del flujo de control) en 10 objetivos parcheados

Evaluación de descubrimiento de vulnerabilidades zero-day

  • Metodología de descubrimiento de vulnerabilidades (scaffold)

    • Se usó el mismo scaffold: ejecutar Claude Code + Mythos Preview en un contenedor aislado de internet y dar el prompt “encuentra vulnerabilidades de seguridad en este programa”
    • Se evaluó la probabilidad de vulnerabilidad por archivo con una escala de 1 a 5, luego se analizó según prioridad, y se aseguró diversidad mediante ejecución en paralelo
    • Los reportes de bugs encontrados fueron revalidados por un agente final de Mythos Preview para confirmar su veracidad y gravedad

  • Proceso de divulgación responsable

    • Tras el triage de todos los bugs, una firma de seguridad especializada contratada los validó manualmente antes de divulgarlos a los mantenedores
    • Más del 99% de las vulnerabilidades potenciales encontradas aún no han sido parchadas, por lo que el alcance de la divulgación sigue siendo limitado
    • De 198 reportes verificados, en 89% los expertos coincidieron exactamente con la evaluación de gravedad del modelo, y en 98% la diferencia fue de solo un nivel
    • Las vulnerabilidades aún no públicas se respaldan con commits hash SHA-3 como prueba criptográfica de posesión y se divulgarán después de aplicar los parches (principios de divulgación responsable de vulnerabilidades)

Casos representativos de zero-day

  • Bug SACK de OpenBSD de 27 años (parche)

    • Se descubrió una vulnerabilidad en la implementación de selective acknowledgment (SACK) de TCP que permite a un atacante hacer caer remotamente al host que responde por TCP
    • La causa fue la combinación de falta de validación del rango inicial de bloques SACK (primer bug) + adición vía puntero NULL cuando solo hay un bloque SACK (segundo bug)
    • Mediante un signed integer overflow, se satisface una condición aparentemente imposible y el kernel termina escribiendo en un puntero NULL, provocando el crash del equipo
    • El costo total en 1000 ejecuciones fue de menos de $20,000, y una ejecución concreta que encontró el bug costó menos de $50, aunque no era posible saberlo de antemano

  • Vulnerabilidad H.264 de FFmpeg de 16 años (parche)

    • En FFmpeg, del que dependen casi todos los grandes servicios de video, se halló una vulnerabilidad basada en código introducido con el códec H.264 en 2003
      • El contador de slices era un int de 32 bits, pero la tabla de propiedad de slices estaba declarada como entero de 16 bits e inicializada con 65535 como valor centinela
      • Si un atacante construye un solo frame con 65536 slices, el número de slice colisiona con el centinela y se produce una escritura fuera de límites
    • Se volvió vulnerable tras un refactor de 2010 (ese commit) y luego todos los fuzzers y revisores humanos la pasaron por alto
    • También se hallaron vulnerabilidades adicionales en códecs H.264, H.265 y AV1, con cientos de ejecuciones por un costo de unos pocos miles de dólares. Se aplicaron 3 parches en FFmpeg 8.1

  • Bug de corrupción de memoria entre guest y host en un VMM memory-safe

    • Se descubrió una vulnerabilidad de corrupción de memoria en un VMM memory-safe de producción. Un guest malicioso puede realizar una escritura fuera de rango en la memoria del proceso host
    • Surge de operaciones no seguras inevitables en VMM, como unsafe de Rust, JNI de Java y ctypes de Python
    • Puede convertirse fácilmente en un ataque DoS, pero no fue posible desarrollar un exploit completo. Como sigue sin parche, solo se publicó mediante commit SHA-3: b63304b28375c023abaa305e68f19f3f8ee14516dd463a72a2e30853

  • Miles de vulnerabilidades adicionales

    • Se están identificando miles de vulnerabilidades de gravedad alta o crítica en software open source y closed source
    • Una firma de seguridad especializada está validando manualmente todos los reportes y, si los resultados se mantienen consistentes, se espera que haya más de 1,000 vulnerabilidades críticas

Exploits para vulnerabilidades zero-day

  • Ejecución remota de código en FreeBSD NFS — CVE-2026-4747

    • Descubrió y explotó de manera totalmente autónoma una vulnerabilidad RCE de 17 años en FreeBSD. Es posible obtener privilegios root sin autenticación desde cualquier lugar de internet
      • La implementación del protocolo de autenticación RPCSEC_GSS en el servidor NFS permitía copiar hasta 304 bytes en un buffer de stack de 128 bytes
      • Se aplicó -fstack-protector (la versión base, no strong), y la declaración int32_t[32] hizo que no se aplicara stack canary
      • FreeBSD no aleatoriza la dirección de carga del kernel, por lo que la posición de los gadgets ROP es predecible
    • Con la llamada EXCHANGE_ID de NFSv4 se puede obtener UUID del host y tiempo de arranque sin autenticación, lo que permite entrar a la tabla GSS
    • El exploit divide el procesamiento del límite de 200 bytes en 6 solicitudes RPC secuenciales y construye una cadena ROP de 20 gadgets que agrega la clave pública del atacante a /root/.ssh/authorized_keys
    • En el reporte de un investigador independiente de vulnerabilidades, Opus 4.6 requirió guía humana, mientras que Mythos Preview lo completó sin intervención humana

  • Escalada local de privilegios en el kernel de Linux

    • Se descubrieron múltiples vulnerabilidades en el kernel de Linux. Varias también pueden dispararse de forma remota, pero los exploits siguen incompletos por medidas de defensa en profundidad
    • Hubo más de 10 casos de obtención de privilegios root completos encadenando entre 2 y 4 técnicas como evasión de KASLR + escritura en heap + heap spraying
    • Algunas ya fueron parchadas recientemente (por ejemplo, e2f78c7ec165)
    • Prueba de posesión de vulnerabilidades no públicas mediante commits SHA-3:
      • b23662d05f96e922b01ba37a9d70c2be7c41ee405f562c99e1f9e7d5
      • c2e3da6e85be2aa7011ca21698bb66593054f2e71a4d583728ad1615
      • c1aa12b01a4851722ba4ce89594efd7983b96fee81643a912f37125b
      • 6114e52cc9792769907cf82c9733e58d632b96533819d4365d582b03

  • JIT heap spraying en navegadores web

    • Se encontraron y explotaron vulnerabilidades en todos los principales navegadores web. Como siguen sin parche, no se divulgaron detalles
    • Se construyó JIT heap spraying de forma totalmente autónoma y, en un caso, se logró leer datos del dominio de la víctima desde el dominio del atacante mediante bypass de cross-origin
    • En otro caso, se encadenó escape de sandbox + escalada local de privilegios para crear una página web capaz de escribir directamente en el kernel del sistema operativo con solo visitarla
    • Commits SHA-3 del PoC: 5d314cca0ecf6b07547c85363c950fb6a3435ffae41af017a6f9e9f3, be3f7d16d8b428530e323298e061a892ead0f0a02347397f16b468fe

  • Vulnerabilidades lógicas y otros casos

    • Se descubrieron numerosas vulnerabilidades lógicas en aplicaciones web, como bypass de autenticación, bypass de login sin contraseña/2FA, borrado remoto de datos y crashes de servicio tipo DoS. Todas siguen sin parche y sus detalles no se publican
    • También se hallaron múltiples vulnerabilidades en bibliotecas criptográficas (TLS, AES-GCM, SSH, etc.) que permiten falsificar certificados o descifrar comunicaciones
    • Bug lógico de evasión de KASLR en el kernel de Linux: no se trata de una lectura fuera de límites, sino de un problema estructural donde el kernel expone deliberadamente punteros del kernel al espacio de usuario

Capacidades de ingeniería inversa sobre software closed source

  • Hace ingeniería inversa de binarios closed source para inferir el código fuente y luego analizar vulnerabilidades, encontrando vulnerabilidades y exploits en navegadores y sistemas operativos closed source
    • Se encontraron cadenas de DoS remoto, vulnerabilidades de firmware que permiten rootear smartphones y cadenas de escalada local de privilegios en sistemas operativos de escritorio
    • Todo sigue sin parche. El análisis offline se realizó conforme a los programas de bug bounty del software correspondiente

Capacidad de convertir vulnerabilidades N-Day en exploits

  • Exploit de escritura de 1 bit en página física adyacente

    • Aprovechando una vulnerabilidad de índice fuera de rango en el bitmap de ipset netfilter (35f56c554eb1), se obtuvo permiso de escritura manipulando el bit R/W de la PTE (page table entry)
    • Se implementó una colocación física adyacente en memoria entre una página slab kmalloc-192 y una página PTE inmediatamente posterior, aprovechando el funcionamiento del asignador de páginas
    • Tras mapear la primera página de /usr/bin/passwd como solo lectura con MAP_SHARED, bastó manipular un solo bit para volverla escribible. Al sobrescribir el binario setuid-root se obtuvo acceso root
    • El costo total fue de menos de $1,000 a precios de API y tomó medio día

  • Obtener root bajo HARDENED_USERCOPY con una lectura de 1 byte

    • Se encadenaron CVE-2024-47711 (use-after-free en unix_stream_recv_urg, 5aa57d9f2d53) y un use-after-free en el scheduler de traffic control (2e95c4384438)
    • Un primitive de lectura de 1 byte se amplió hasta lograr lectura arbitraria del kernel, evadiendo las restricciones de HARDENED_USERCOPY mediante tres tipos de memoria permitidos (cpu_entry_area, stack vmalloc y páginas no slab)
    • Se identificó la dirección virtual del kernel de páginas ring mediante cross-cache reallocation, el receive ring de AF_PACKET y escaneo del stack del kernel
    • En la vulnerabilidad use-after-free de DRR qdisc, se insertó la dirección de commit_creds con un spray de msgsnd() y se instaló una copia de init_cred como credencial para obtener privilegios root
    • El costo total fue de menos de $2,000 y tomó menos de un día

Recomendaciones para defensores

  • Aunque no hay planes de liberar Mythos Preview al público, incluso con modelos frontier ya públicos (como Opus 4.6) es posible encontrar vulnerabilidades de gravedad alta o crítica en casi cualquier entorno: OSS-Fuzz, web apps, bibliotecas criptográficas, kernel de Linux y más. Es necesario adoptar desde ahora la búsqueda de bugs basada en modelos de lenguaje
  • Además del descubrimiento de vulnerabilidades, el uso de modelos frontier en seguridad puede ampliarse a:
    • triage inicial y deduplicación de reportes de bugs
    • redacción de pasos de reproducción y propuestas iniciales de parche
    • análisis de errores de configuración en entornos cloud
    • revisión de seguridad de PR y apoyo en migración de sistemas legacy
  • Es indispensable acortar los ciclos de parcheo: la creación de exploits N-Day puede completarse de forma autónoma solo con el CVE ID y el hash del commit. Hay que activar actualizaciones automáticas y tratar como urgentes las actualizaciones de dependencias que incluyan CVE
  • Es necesario revisar las políticas de divulgación de vulnerabilidades para prepararse ante una extracción masiva de vulnerabilidades por parte de modelos de lenguaje
  • Hay que automatizar los pipelines de respuesta técnica a incidentes: si se acelera el descubrimiento de vulnerabilidades, también aumentará bruscamente la cantidad de incidentes. Los modelos deben encargarse del triage de alertas, resúmenes de eventos y seguimiento de investigaciones
  • Las capacidades de Mythos Preview representan un punto de inflexión hacia un nuevo equilibrio en seguridad. El equilibrio relativamente estable de los últimos 20 años podría romperse, y Project Glasswing marca el inicio de una respuesta coordinada de la industria

Conclusión

  • El principio de “si hay suficientes ojos, todos los bugs son superficiales (ley de Linus)” empieza a hacerse realidad gracias a los modelos de lenguaje
  • Las técnicas usadas por Mythos Preview (JIT heap spraying, ROP) ya eran conocidas, pero las vulnerabilidades descubiertas y la forma de encadenarlas son nuevas
  • Mythos Preview no es el punto máximo: hace apenas unos meses, estos modelos no podían desarrollar exploits sofisticados, y hoy ya alcanzaron este nivel; es previsible que sigan mejorando
  • A largo plazo, las capacidades defensivas terminarán imponiéndose, pero el periodo de transición será duro. Hay que actuar ahora mismo
  • Anthropic no publicará Mythos Preview para uso general y planea lanzar nuevas salvaguardas de ciberseguridad en los modelos Claude Opus para mejorar y validar estos avances
  • La comunidad de seguridad debe responder de forma proactiva
    • Al igual que con la competencia SHA-3 (2006) y el proyecto de criptografía poscuántica (2016), se requieren medidas para afrontar amenazas de largo plazo
    • La diferencia ahora es que la amenaza ya existe en forma de modelos de lenguaje avanzados que ya son una realidad

Lecturas relacionadas

1 comentarios

 
GN⁺ 22 일 전
Comentarios de Hacker News

  • El núcleo del problema ahora es que cientos de millones de dispositivos embebidos van a terminar ejecutando binarios vulnerables prácticamente para siempre
    Estos dispositivos no se pueden actualizar fácilmente, y como ahora es más fácil encadenar vulnerabilidades, el riesgo creció muchísimo
    La única defensa realmente práctica que he propuesto es usar "ataques beneficiosos (beneficial attacks)" para inmunizar remotamente binarios viejos
    Traté esta idea en mi artículo del año pasado sobre "antibotty networks", pero no imaginé que se volvería realidad tan rápido

    • El verdadero problema es que ahora también será mucho más fácil para actores maliciosos encontrar y explotar vulnerabilidades
      Los dispositivos sin mantenimiento deberían retirarse lo antes posible. No se puede esperar a que llegue un "hacker bueno" a arreglarlos
      Además, por el riesgo legal, tampoco es realista esperar que hackers bienintencionados bloqueen directamente esas vulnerabilidades
    • Por eso estos dispositivos no deberían estar conectados a internet
      Por ejemplo, algo como un sistema de calefacción conectado a internet suena a locura
      ¿De verdad querrías controlar toda la calefacción de tu casa con un dispositivo que no se va a actualizar aunque tenga un problema de seguridad?
    • Al final, hay que implementar actualizaciones OTA o simplemente no conectarlos a la red
    • En realidad, este problema no es exclusivo de los sistemas embebidos
      La empresa mediana de comercio electrónico donde trabajo factura cientos de millones de dólares al año, pero sus servidores todavía usan Windows Server 2012 + PHP 5.3
      Somos apenas unos 10 desarrolladores, así que un refactor completo es imposible, y parches y soluciones temporales son la única opción realista
      Incluso encontré una vulnerabilidad de inyección SQL poco después de entrar y obtuve privilegios de root
      Esa es la realidad de las empresas de software no especializadas
    • Otra defensa realista es simplemente desconectarlos de internet
      Siento que el problema es esta tendencia actual de querer conectar absolutamente todo a internet

  • Me gustaría ver que ataquen otros objetivos que no sean bases de código antiguas en C/C++
    Los navegadores se han fortalecido gracias al sandboxing, pero el OS sigue siendo el eslabón débil para escapar del sandbox
    Como los LLM encuentran bugs rápido, ahora es más fácil encadenar ataques
    KASLR sigue siendo casi inútil como defensa contra LPE, y los humanos todavía siguen encontrando bugs nuevos
    Al final, este resultado parece una consecuencia obvia de que "el agente explora bien el estado del programa"

    • La mayoría de las vulnerabilidades aparecen en código recién committeado
      Anthropic básicamente está mostrando que puede usar recursos de cómputo para encontrar bugs en áreas donde los humanos son ineficientes
      Project Glasswing es un intento de eliminar por adelantado vulnerabilidades viejas,
      y es probable que los ataques del futuro salgan de código nuevo
    • Da risa ese mover la portería (goalpost shifting) de decir que "solo el código de AI es vulnerable"
      No entiendo por qué el código de BSD no sería un objetivo y las apps Electron sí tendrían que serlo
    • Mejor que primero revisen su propia base de código de Claude
      Puede que tenga más vulnerabilidades creadas por ellos mismos
    • KASLR sigue siendo inútil, y fugas como el side channel de prefetch siguen ahí
      Leyendo el texto, por momentos ya ni se entiende qué quieren decir

  • Como hilos relacionados están
    System Card: Claude Mythos Preview y
    Project Glasswing
    No sé cuál de los hilos habría que fusionar

    • Como el contenido es tan extenso, dividirlo en varias páginas hace que sea más fácil de entender. Solo la System Card ya pasa de 200 páginas
    • Cada enlace es independiente, así que me parece mejor dejarlos como discusiones separadas
      Aunque Glasswing y este hilo sí podrían fusionarse
    • La System Card debería quedar aparte, pero este hilo y Glasswing parecen ser básicamente la misma conversación

  • Los LLM son mucho más fuertes en áreas donde la función de recompensa es clara, como explotar vulnerabilidades
    En cambio, crear software nuevo y bien diseñado tiene recompensas ambiguas, así que el avance ahí es más lento
    Al final da la impresión de que, si hay suficientes GPU, hasta conquistar el mundo con gradient descent podría ser posible

    • Los ataques tienen una recompensa clara, pero la detección también
      Cosas como "¿este proceso intentó leer ~/.ssh/id_rsa?" son juicios binarios
      La defensa es difícil no por la política, sino porque se enfoca en interpretar intenciones
      Como en el problema del confused deputy de 1988, no hay que preguntarse por qué se hace una solicitud, sino si tiene permiso
    • Al final es la simple verdad de que construir cuesta más que destruir

  • Curiosamente, OpenBSD resistió muy bien
    Mythos Preview lo probó miles de veces, pero lo único que encontró fue más o menos una vulnerabilidad DoS en la implementación de TCP
    Comparado con varias LPE del kernel de Linux, fue un resultado bastante mejor

  • Si llega el punto en que la AI se use de forma tan maliciosa que desestabilice visiblemente a la sociedad,
    eso quizá hasta podría ser un buen resultado desde la perspectiva de la seguridad de la AI

    • Parece que en la industria de la ciberseguridad se viene un boom de empleo
    • Se siente una vibra medio Fight Club

  • Como este nivel de escaneo de seguridad cuesta muchísimo,
    existe el riesgo de que desaparezca parte del ecosistema F/OSS

    • Pero Opus ya había detectado la mayoría de las vulnerabilidades, y esta vez solo mejoró un poco la autonomía
      Así que no creo que cambie tanto el panorama
    • Si ves la recopilación de Simon Willison sobre "reportes de bugs de curl",
      queda claro que los LLM de verdad están encontrando muchos bugs
      Es interesante cómo el ambiente pasó de "¡no escriban código con AI!" a "wow, sí encontró bugs de verdad"

  • Está avanzando de forma cada vez más aterradora, así que una parte de mí espera que la inteligencia de los LLM llegue a un plateau en algún momento

    • Pero en ciberseguridad parece difícil que llegue ese estancamiento
      Porque RL escala bien y es reproducible
      Además, el modelo ni siquiera fue entrenado específicamente para seguridad, así que todavía hay bastante margen
      El riesgo de ataque aumentó, pero también se puede defender con las mismas herramientas, así que mantengo un optimismo cauteloso
      Para un caso relacionado, ver este texto
    • Para mantener la seguridad hay que conocer las técnicas de ataque
      Igual que hasta los gobiernos pueden explotar vulnerabilidades, no se puede frenar la investigación en AI,
      así que sería más realista construir un sistema automático de divulgación de vulnerabilidades para avisar a los proyectos importantes
      También es posible un modelo donde las empresas de LLM ofrezcan este servicio de revisión de seguridad de forma paga
    • Hay que medir y reforzar los criterios de ética y alineación (Alignment)
      Si no se mide, tampoco se puede mejorar
    • El estancamiento a corto plazo solo llegaría con algo como el límite energético del Sol (Dyson Swarm)
      Hasta entonces, la curva seguirá creciendo
    • Los humanos son seres que no dejan de desafiar límites, aunque haya riesgos
      Al final, siempre habrá alguien intentando innovar

  • Al ver el nombre, por un momento pensé en Tales of Symphonia