评估Claude Mythos Preview的网络安全能力 2026 （架构师之道翻译版）

2 2 4 6 6 7 7 15 24 293今天早些时候，我们发布了ClaudeMythosPreview，这是一款新的通用大语言模型。该模型在各项任务上均表现卓越，但在计算机安全任务上的能力尤为这篇博客文章为希望确切了解我们如何测试此模型以及过去一个月发现了什么的研究人也清晰地展示了下一代模型网络安全能力的巨大飞跃——这需要整个行业采取实质性的协调4统和每个主要网页浏览器中的零日漏洞。它发现的漏洞通常很微妙或难以检测。5料库的大约一千个开源仓库进行测试，并根据严重性递增的五级阶梯对它们能历史上，大多数安全工具对防御者的益处大于攻击者。当第一批软件模糊测试器大规模部署6我们历来依靠内部和外部基准测试（如上文重点转向新颖的真实世界安全任务，很大程度上是因为衡量1.“指针是真实的。它们是硬件所理解的。”关键软件系统—2.由于这些代码库经常被审计，几乎所有简单的漏洞都已3.内存安全违规特别容易验证。像AddressSanitizer这样的工具可以完美地区分真实漏洞和幻觉；因此，当我们测试Opus4.6并向Firefox提4.我们的研究团队在内存损坏漏洞利用方面拥有丰富经验，使我们7），高效率，我们不是处理每个软件项目的每个的每个漏洞进行分类，然后将最高严重性的漏洞发送给专业的人工分类披露给维护者。这个过程意味着我们不会用无法管理的大量新工作淹没维护补。这意味着我们只能谈论其中的一小部分。因此，重要的是要认识到未来几个月内将被识别的漏洞和漏洞利用的下限——尤其是随着我们和我任披露流程完成（在我们向受影响方报告漏洞后不超过90加45天我们将用指向承诺背TCP（如RFC793所定义）是一个简单的协议。从主机A发送到主机B的每个数据包都有8），<0来比较它们。当a和b彼此相差在231范围内时，这是正确的——真实的序列号总是如此。但由于第一个漏洞，没有什么能阻止攻击者将SACK块的起始位置设置在距离真实窗口大约231的位置。在这个距离上，减法在两个比较中都溢出了符号9模糊测试——一种安全研究人员向程序输入数百万个随机生成的视术。事实上，整篇研究论文都围绕着如何对像FFmpeg这样的媒体库其中三个漏洞也已在FFmpeg8.1中修复，更多漏洞正在进行负责任披露。行，云提供商依赖VMM来安全地隔离共享相同硬件b63304b28375c023abaa305e68f19f3f8ee14516dd463a72a2e30853。该漏洞存在是因为用内存我们已经识别了数千个额外的高危和严重漏商负责任地披露它们。我们已经聘请了一些专业安全项目中的漏洞只是一个潜在的弱点。最终，漏洞之所以重要需要本文中讨论的所有漏洞利用都是在完全加固的系统上进行的，所有防御行漏洞，该漏洞允许任何人在运行NFS的机器上获得root权限。此漏洞被归类为CVE-2026-4747，允许攻击者从未经身份验证的互联网上任何位置的用户开始，获得对服务器的完过程调用（RPC）。为了让客户端向易受攻击的服务器验证自身身份，FreeBSD实现了RFC2203的RPCSEC_GSS身份验证协议。实现此协议的方法之一），MythosPreview通过找到一个将攻击者公钥附加到/roaab856123a5b555425d1538a3aa4aff220c5011ee4b262c如，通过缓冲区溢出、释放后使用或双重释放漏洞）。其中许多是可这些漏洞利用大多数要么未修补，要么最近才修补（参见，例如，上周修补的提交Claude还发现并构建了针对大多数其他主要操作系统中许多（迄今为止未修补的）漏洞eead5195d761aad2f6dc8e4e1b56c4161531439fad524478b7c7158b。这三份报Web应用程序包含无数漏洞，从跨站脚本和SQL注入（两者都是与内存损坏性质相同的•账户登录绕过，允许未经身份验证的用户在不知道其密码或双因素身份验型在逆向工程方面极其强大：获取一个闭源的、剥离符号d4f233395dc386ef722be4d7d4803f2802），已知存在，补丁本身是漏洞的路线图，披露和大规模固机器上被禁用。）然而，重要的是，我们正在报告几个类似复描述的漏洞利用与我们看到的它为新颖零日漏洞编写的漏洞利用复杂度不是内核开发者，因此我们的理解可能不完美。我们对漏洞利用的正确性非常有信心（因为漏洞。此漏洞在提交35f56c554eb1中修补，最初被Syzkaller归类为越界读取，因记了第一次错误访问。但相同的越界索引随后被写入，因此允许攻每一位。通过传递NLM_F_EXCL标志并仔细选择first_ip和CIDR宽度，攻击者可以将该运行理解这些分配在地址空间中的位置也很重要。在用户空间，写入ptr+4096会落在进程MythosPreview做出最后一个观察：SLUB将每个对象对齐到至少8字节，因此kmalloc-是一个由512个八字节页表条目（PTE），）；），获它。在一个刚刚还能正常读取的页上出现SIGSEGV会干净地将条目清零），然后使用MAP_FIXED|MAP_SHARED|该2MBPMD范围，内核将释放页表页本身——破坏漏洞利用刚刚找到的相况下，2MB金丝雀映射的其余部分仍然围绕着4KB的孔，因此free_pgd_range()的缓存副本。从这里开始，只需一个168字节ELF存根的memcpy，该存根调用setuid(0);setgid(0);execve("/bin/sh")来重写文件的头部。因为映射是MAP_SHA页面缓存，因此系统上的每个进程现在在读取该文件时都会看到修改后的字节。并且因为unix_stream_recv_urg()中的一个释放[5aa57d9f2d53](/torvalds/linux/commit/5aa漏洞允许非特权进程从已释放的内核网络缓冲区中恰好窥探一个无法授予权限提升，因此此漏洞利用串联了第二个独立的漏洞：流量控制[2e95c4384438](/torvalds/linux/commit/2e9节跳转到正常流队列的前面。进程使用send(fd,&的助手在正常（非MSG_OOB）recv()调用期间运行，以决定当该队列头部的skb过跳过它并直接返回下一个skb来处理这种情况。漏洞在于此快捷方式跳过了检查该下一个），），个漏洞，SLUB将页从伙伴分配器分割成固定大小的槽；这里我们需要SLUB将其中一个页归但这就是漏洞利用开始遇到麻烦的地方。在使用CONFIG要的原因是，一字节读取原语不是某种原始内存访问，它是recv()将一个字节传递给用户空3.其支持页不是slab管理的地址，如更困难的问题是了解内核中数据包环页的虚拟地址。KASLR步骤找到了内核映像的基址息，因为堆地址是单独的随机化。MythosPreunix_stream_read_generic()将悬空oob_skb指针加载到程，这就是我们的任意读取触发的地方。因此，在读取发生的精确时刻，Claude需要的指针实际跟随这样一个指针并调用它的内核代码路径。任意读取本身无法提升权限，因此这里qdisc_tree_reduce_backlog()假设任何主要句柄为ffff然后它仅修补调度器出队路径在将相同内存视为Qdisc时会查看的两个字。在struct已经记录了非工作保持警告，不要再记录它”，因为它即将采取的代码路径否则会命中一个表条目，跟随msgsnd()喷射放置在那里的qdisc指针进入环，从偏移24读取ops，跟随它到破坏的两个字段euid/egid和suid是垃圾，但拥有CAP_SETUID，漏洞利用只需进行一次此漏洞利用的结果与上述相同：用户可以将自己的权限提升到root。这个漏洞利用对MythosPreview来说构建起来更具挑战正如我们在ProjectGlasswing公），练习使用大语言模型进行漏洞发现是值得的，无论是使用Opus4.超越漏洞发现进行思考。前沿模型还可以在许多今天手动执行的所有安全任务尝试使用大语言模型。随着模型变得更好，安加快您的漏洞缓解策略。特别是如果您拥有、运营或以其他方式负责关键但遗留的软件但是，能够大规模自动识别并利用安全漏洞的大语言模型可能会颠覆这种脆弱的平衡。ProjectGlasswing，我们希望认真开始这场对话。想百科全书式知识，以及比任何人类都能更彻底和勤奋的能力（对我们来说，这意味着从ProjectGlasswing开始。虽然我们不计划让ClaudeMythosPreview如果您有兴趣帮助我们完成这些工作，我们有职位空缺，包括威胁调查员、政策经理、攻击性和漏洞利用时，我们还将发布我们承诺的文档，让任何人验证我们•报告：aab856123a5b555425d1538a37a2e6ca47655c300515ebfc55d23•概念验证：aa4aff220c5011ee4b262c05faed7e0424d249353c336048af0f2375•报告：b23662d05f96e922b01ba37a9d70c2be7c41ee405f562c99e1f9e7d5•概念验证：c2e3da6e85be2aa7011ca21698bb66593054f2e71a4d583728ad1•报告：c1aa12b01a4851722ba4ce89594efd7983b96fee81643a912f371•概念验证：6114e52cc979276