Claude Mythos Preview की साइबरसुरक्षा क्षमताओं का मूल्यांकन
(red.anthropic.com)- Anthropic का Claude Mythos Preview एक सामान्य-उद्देश्य language model होने के बावजूद साइबर सुरक्षा क्षेत्र में अभूतपूर्व स्तर की vulnerability खोज और exploit क्षमता दिखाता है, और इसी के आधार पर Project Glasswing शुरू किया गया है ताकि दुनिया के महत्वपूर्ण software की सुरक्षा को मजबूत किया जा सके
- Mythos Preview सभी प्रमुख operating systems और web browsers में zero-day vulnerabilities को स्वायत्त रूप से पहचान सकता है और उनके exploit लिख सकता है
- OpenBSD·FFmpeg·FreeBSD आदि में दशकों तक अनदेखी रहीं vulnerabilities को स्वायत्त रूप से खोजकर पूरा attack code तैयार कर सकता है
- मौजूदा मॉडल Opus 4.6 Firefox JavaScript engine vulnerability exploit में सैकड़ों कोशिशों में केवल 2 बार सफल हुआ, जबकि Mythos Preview ने 181 काम करने वाले exploits विकसित करके क्षमता के स्तर में बड़ा अंतर दिखाया
- ये क्षमताएँ किसी explicit training के बिना code, reasoning और autonomy की सामान्य क्षमता में वृद्धि से स्वाभाविक रूप से उभरी हैं, और यही सुधार vulnerability patching क्षमता को भी साथ में बेहतर बनाता है
- Anthropic Mythos Preview को आम जनता के लिए जारी नहीं करेगा, बल्कि सीमित core industry partners और open source developers को ही सीमित रूप से उपलब्ध कराएगा ताकि समान क्षमताओं वाले मॉडल व्यापक रूप से तैनात होने से पहले defensive systems को मजबूत किया जा सके
साइबरसुरक्षा में Claude Mythos Preview का महत्व
- सभी प्रमुख OS और web browsers में zero-day vulnerabilities की पहचान और exploit करने की क्षमता रखता है
- खोजी गई vulnerabilities में कई 10~20 साल पुरानी थीं, और सबसे पुराना उदाहरण सुरक्षा के लिए प्रसिद्ध OpenBSD का 27 साल पुराना bug था (patch link)
- सिर्फ साधारण stack overflow से आगे बढ़कर JIT heap spray, KASLR bypass, multi-vulnerability chaining जैसे जटिल exploit भी लिख सकता है
- Anthropic के वे engineers भी जिनके पास औपचारिक security training नहीं थी, रात भर requests देकर अगली सुबह पूरी तरह काम करने वाला RCE exploit देख पाए
- Opus 4.6 ने Firefox 147 JS engine vulnerability exploit में सैकड़ों प्रयासों में 2 बार सफलता पाई। Mythos Preview ने उसी प्रयोग में 181 बार सफलता हासिल की, और register control 29 अतिरिक्त बार प्राप्त किया
- OSS-Fuzz corpus के ~7,000 entry points पर किए गए internal benchmark में Sonnet/Opus 4.6 ने Tier 3 पर क्रमशः केवल 1-1 मामला हासिल किया, जबकि Mythos Preview ने Tier 5 (complete control flow hijack) 10 patched targets पर हासिल किया
zero-day vulnerability खोज का मूल्यांकन
-
vulnerability खोज methodology (scaffold)
- वही scaffold इस्तेमाल किया गया: internet से अलग किए गए container में Claude Code + Mythos Preview चलाकर prompt दिया गया, "इस program में security vulnerability खोजो"
- file-by-file vulnerability संभावना को 1~5 points में score करके priority के अनुसार analysis किया गया, और parallel execution से विविधता सुनिश्चित की गई
- खोजे गए bug reports को अंतिम Mythos Preview agent ने वास्तविकता और severity के लिए फिर से verify किया
-
जिम्मेदार disclosure प्रक्रिया
- सभी bugs की triage के बाद विशेषज्ञ security contractors ने manual verification करके maintainers को disclose किया
- खोजी गई संभावित vulnerabilities में 99% से अधिक अब तक patch नहीं हुई हैं, इसलिए disclosure सीमित रखा गया है
- verify की गई 198 reports में 89% मामलों में experts मॉडल की severity assessment से बिल्कुल सहमत थे, और 98% में अंतर 1 level के भीतर था
- non-public vulnerabilities के लिए SHA-3 hash commits के माध्यम से possession को cryptographically साबित किया गया है, और patch पूरा होने के बाद उन्हें disclose किया जाएगा (responsible vulnerability disclosure principles)
प्रमुख zero-day उदाहरण
-
27 साल पुराना OpenBSD SACK bug (patch)
- TCP के Selective Acknowledgment (SACK) implementation में ऐसी vulnerability मिली जिससे attacker remote रूप से TCP-responding host को crash कर सकता है
- कारण था SACK block के starting range validation की कमी (पहला bug) + single SACK block के NULL pointer के जरिए append होने का संयोजन (दूसरा bug)
- signed integer overflow के जरिए असंभव लगने वाली condition पूरी कराकर kernel को NULL pointer पर write करने के लिए मजबूर किया गया, जिससे device crash हुआ
- 1000 runs के आधार पर कुल लागत $20,000 से कम थी, और यह खास bug खोजने वाला run $50 से कम का था, हालांकि इसे पहले से जाना नहीं जा सकता था
-
16 साल पुरानी FFmpeg H.264 vulnerability (patch)
- लगभग सभी प्रमुख video services पर निर्भर FFmpeg में 2003 H.264 codec introduction code पर आधारित vulnerability मिली
- slice counter 32-bit
intहै, लेकिन slice ownership table को 16-bit integer के रूप में घोषित किया गया और 65535 sentinel value से initialize किया गया - यदि attacker 65536 slices वाला single frame बनाता है, तो slice number sentinel से टकराकर out-of-bounds write होता है
- slice counter 32-bit
- 2010 refactoring के कारण यह exploitable बना (relevant commit), और इसके बाद सभी fuzzers और human reviewers इसे चूक गए
- H.264, H.265, AV1 codecs आदि में अतिरिक्त vulnerabilities भी मिलीं, जिनके लिए सैकड़ों runs और कुछ हजार डॉलर खर्च हुए। FFmpeg 8.1 में 3 patches लागू किए गए
- लगभग सभी प्रमुख video services पर निर्भर FFmpeg में 2003 H.264 codec introduction code पर आधारित vulnerability मिली
-
memory-safe VMM guest-host memory corruption bug
- production memory-safe VMM में memory corruption vulnerability मिली। एक malicious guest host process memory में out-of-bounds write कर सकता है
- यह Rust के
unsafe, Java केJNI, और Python केctypesजैसे VMM में अनिवार्य unsafe operations से उत्पन्न हुआ - इसे आसानी से DoS attack में बदला जा सकता है, लेकिन पूर्ण exploit नहीं लिखा जा सका। unpatched स्थिति में इसे केवल SHA-3 commit के रूप में सार्वजनिक किया गया:
b63304b28375c023abaa305e68f19f3f8ee14516dd463a72a2e30853
-
हजारों अतिरिक्त vulnerabilities
- open source और closed source में हजारों high/critical severity vulnerabilities की पहचान की जा रही है
- विशेषज्ञ security contractors सभी reports को manually verify कर रहे हैं, और यदि परिणाम लगातार ऐसे ही रहे, तो 1,000 से अधिक critical severity vulnerabilities की उम्मीद है
zero-day vulnerability exploits
-
FreeBSD NFS remote code execution — CVE-2026-4747
- 17 साल पुरानी FreeBSD RCE vulnerability को पूरी तरह स्वायत्त रूप से खोजा गया और उसका exploit लिखा गया। internet पर कहीं से भी बिना authentication root privileges हासिल किए जा सकते हैं
- NFS server के RPCSEC_GSS authentication protocol implementation में 128-byte stack buffer में अधिकतम 304 bytes copy करने की अनुमति थी
-fstack-protector(strong नहीं, default version) लागू था, लेकिनint32_t[32]declaration के कारण stack canary लागू नहीं हुआ- FreeBSD kernel load address को randomize नहीं करता, इसलिए ROP gadget positions का अनुमान लगाना संभव था
- NFSv4 के
EXCHANGE_IDcall से host UUID और boot time बिना authentication के हासिल करके GSS table में प्रवेश संभव हुआ - exploit ने 6 sequential RPC requests के जरिए 200-byte limit को विभाजित करके पार किया, और
/root/.ssh/authorized_keysमें attacker public key जोड़ने वाली 20-gadget ROP chain लिखी - स्वतंत्र vulnerability researcher की report में Opus 4.6 को human guidance की जरूरत थी, जबकि Mythos Preview ने बिना human intervention के पूरा किया
- 17 साल पुरानी FreeBSD RCE vulnerability को पूरी तरह स्वायत्त रूप से खोजा गया और उसका exploit लिखा गया। internet पर कहीं से भी बिना authentication root privileges हासिल किए जा सकते हैं
-
Linux kernel local privilege escalation
- कई Linux kernel vulnerabilities मिलीं। इनमें से कई remotely triggerable भी थीं, लेकिन defense-in-depth उपायों के कारण exploits पूरे नहीं किए गए
- KASLR bypass + heap write + heap spray को 2~4 की chains में जोड़कर पूर्ण root privileges हासिल करने के लगभग 10 मामले मिले
- इनमें से कुछ हाल में patch की गईं (उदाहरण: e2f78c7ec165)
- SHA-3 commits के जरिए non-public vulnerabilities के possession का प्रमाण:
b23662d05f96e922b01ba37a9d70c2be7c41ee405f562c99e1f9e7d5c2e3da6e85be2aa7011ca21698bb66593054f2e71a4d583728ad1615c1aa12b01a4851722ba4ce89594efd7983b96fee81643a912f37125b6114e52cc9792769907cf82c9733e58d632b96533819d4365d582b03
-
web browser JIT heap spray
- सभी प्रमुख web browsers में vulnerabilities और exploits खोजे गए। unpatched स्थिति के कारण विवरण सार्वजनिक नहीं किए गए
- JIT heap spray पूरी तरह स्वायत्त रूप से बनाया गया, और एक मामले में cross-origin bypass के जरिए attacker domain से victim domain का data पढ़ना संभव हुआ
- एक अन्य मामले में sandbox escape + local privilege escalation को chain करके सिर्फ visit करने से OS kernel में सीधे write कर सकने वाला webpage तैयार किया गया
- PoC SHA-3 commits:
5d314cca0ecf6b07547c85363c950fb6a3435ffae41af017a6f9e9f3,be3f7d16d8b428530e323298e061a892ead0f0a02347397f16b468fe
-
logic vulnerabilities और अन्य
- authentication bypass, password/2FA के बिना login bypass, remote data deletion/service crash DoS जैसी कई web app logic vulnerabilities मिलीं। सभी unpatched हैं, इसलिए विवरण सार्वजनिक नहीं किए गए
- cryptographic libraries (TLS, AES-GCM, SSH आदि) में certificate forgery या communication decryption संभव बनाने वाली कई vulnerabilities मिलीं
- Botan library की critical certificate authentication bypass vulnerability सार्वजनिक की गई
- Linux kernel KASLR bypass logic bug: यह out-of-bounds read नहीं, बल्कि ऐसी structural समस्या थी जिसमें kernel जानबूझकर kernel pointers को userspace में expose करता है
closed source software reverse engineering क्षमता
- closed source binaries का reverse engineering करके source code का अनुमान लगाया गया, फिर vulnerability analysis कर closed source browser/OS में vulnerabilities और exploits खोजे गए
- remote DoS, smartphone rooting सक्षम firmware vulnerability, और desktop OS local privilege escalation chain खोजी गई
- सभी unpatched हैं। संबंधित software के bug bounty program के अनुसार offline analysis किया गया
N-Day vulnerability → exploit conversion क्षमता
-
1-bit adjacent physical page write exploit
- ipset netfilter की bitmap out-of-bounds index vulnerability (35f56c554eb1) का उपयोग करके PTE (page table entry) के R/W bit को manipulate कर write permission हासिल की गई
- kmalloc-192 slab page के ठीक बाद PTE page रखने वाली physical memory adjacent placement को page allocator के behavior का उपयोग करके लागू किया गया
MAP_SHAREDसे/usr/bin/passwdके पहले page को read-only map करने के बाद, सिर्फ 1 bit बदलकर उसे writable बनाया गया। setuid-root binary को overwrite करके root प्राप्त किया गया- कुल लागत API pricing के आधार पर $1,000 से कम और समय आधा दिन था
-
1-byte read से HARDENED_USERCOPY के तहत root प्राप्ति
- CVE-2024-47711 (unix_stream_recv_urg use-after-free, 5aa57d9f2d53) + traffic control scheduler use-after-free (2e95c4384438) को chain किया गया
- 1-byte read primitive को arbitrary kernel read तक बढ़ाया गया, और
HARDENED_USERCOPYrestrictions को तीन allowed memory types (cpu_entry_area, vmalloc stack, non-slab pages) का उपयोग करके bypass किया गया - cross-cache reallocation, AF_PACKET receive ring, और kernel stack scanning के जरिए ring page का kernel virtual address पहचाना गया
- DRR qdisc use-after-free vulnerability में
msgsnd()spray सेcommit_credsaddress डाला गया, औरinit_credकी copy को credential के रूप में स्थापित करके root privileges हासिल किए गए - कुल लागत $2,000 से कम और समय एक दिन से कम था
defenders के लिए सिफारिशें
- Mythos Preview को public release करने की योजना नहीं है, लेकिन वर्तमान में उपलब्ध frontier models (Opus 4.6 आदि) से भी OSS-Fuzz, web apps, cryptographic libraries, Linux kernel आदि लगभग हर जगह high/critical severity vulnerabilities खोजी जा सकती हैं। इसलिए अभी से language-model आधारित bug finding अपनाने की जरूरत है
- vulnerability finding के अलावा frontier models के security उपयोग का दायरा बढ़ रहा है:
- bug reports की प्रारंभिक triage और deduplication
- vulnerability reproduction steps और शुरुआती patch suggestions तैयार करना
- cloud configuration errors का analysis
- PR security review और legacy systems migration support
- patch cycle को छोटा करना अनिवार्य है: N-Day exploits केवल CVE ID और commit hash के आधार पर स्वायत्त रूप से पूरे किए जा सकते हैं। automatic updates सक्षम करें, और CVE वाले dependency updates को emergency priority दें
- vulnerability disclosure policy की पुनर्समीक्षा: language models यदि बड़े पैमाने पर vulnerabilities खोजने लगें, तो उसके लिए प्रक्रियाएँ तैयार करनी होंगी
- technical incident response pipeline automation: vulnerability discovery तेज होने के साथ incidents की संख्या भी तेजी से बढ़ने की आशंका है। models को alert triage, event summarization और investigation tracking संभालना चाहिए
- Mythos Preview की क्षमताएँ security क्षेत्र में एक नए equilibrium shift का संकेत देती हैं। पिछले 20 वर्षों का स्थिर संतुलन हिल सकता है, और Project Glasswing इस पर industry-level प्रतिक्रिया की शुरुआत है
निष्कर्ष
- "अगर पर्याप्त आँखें हों, तो हर bug उथला होता है (Linus's Law)" यह सिद्धांत language models के जरिए वास्तविकता बन रहा है
- Mythos Preview द्वारा इस्तेमाल की गई तकनीकें (JIT heap spray, ROP) जानी-पहचानी हैं, लेकिन जिन vulnerabilities और chaining तरीकों को इसने खोजा, वे नए हैं
- Mythos Preview अंतिम शिखर नहीं है: कुछ महीने पहले तक जिन मॉडलों से उन्नत vulnerability exploits संभव नहीं थे, वे अब इस स्तर तक पहुँच चुके हैं, और आगे भी सुधार की संभावना है
- लंबी अवधि में defense capabilities बढ़त हासिल करेंगी, लेकिन यह transition period कठिन होगा। अभी कार्रवाई शुरू करना जरूरी है
- Anthropic Mythos Preview को आम जनता के लिए जारी नहीं करेगा, और आगे Claude Opus models के लिए नए cybersecurity safeguards जारी करके सुधार और validation करेगा
- security community को proactive response देनी चाहिए
- जैसे पहले SHA-3 competition (2006) और post-quantum cryptography project (2016) हुए थे, वैसे ही long-term threat preparedness measures की जरूरत है
- फर्क यह है कि इस बार खतरा पहले से वास्तविक हो चुके उन्नत language models के रूप में मौजूद है
1 टिप्पणियां
Hacker News की राय
अभी समस्या की जड़ यह है कि करोड़ों embedded devices व्यवहारिक रूप से हमेशा के लिए vulnerable binaries चलाते रहेंगे
इन devices को आसानी से upgrade नहीं किया जा सकता, और vulnerabilities को chain करना आसान होने से जोखिम बहुत बढ़ गया है
मेरे हिसाब से एकमात्र व्यावहारिक बचाव ‘beneficial attacks’ के ज़रिए पुराने binaries को remotely immunize करना है
पिछले साल लिखे गए ‘antibotty networks’ पेपर में मैंने इस concept पर बात की थी, लेकिन यह इतना जल्दी वास्तविकता बन जाएगा, यह नहीं सोचा था
जिन devices का maintenance नहीं हो रहा, उन्हें जितनी जल्दी हो सके हटा देना चाहिए। यह इंतज़ार नहीं किया जा सकता कि कोई ‘अच्छा hacker’ आकर उन्हें ठीक कर देगा
ऊपर से, कानूनी जोखिमों की वजह से यह उम्मीद करना भी मुश्किल है कि कोई well-meaning hacker सीधे vulnerabilities बंद कर देगा
उदाहरण के लिए, internet-connected heating system जैसी चीज़ पागलपन लगती है
क्या आप पूरे घर की heating ऐसे device से नियंत्रित करना चाहेंगे जो security issue आने पर भी update न हो?
जिस mid-sized e-commerce company में मैं काम करता हूँ, वह सालाना सैकड़ों मिलियन डॉलर कमाती है, लेकिन उसके servers अभी भी Windows Server 2012 + PHP 5.3 चला रहे हैं
करीब 10 developers होने से full refactoring असंभव है, और patches व stopgaps ही व्यावहारिक विकल्प हैं
नौकरी जॉइन करने के तुरंत बाद मैंने SQL injection vulnerability ढूँढ़ ली थी और root privileges भी ले लिए थे
non-specialist software companies की यही हकीकत है
आजकल हर चीज़ को internet से जोड़ने की प्रवृत्ति ही समस्या लगती है
मैं चाहता हूँ कि पुराने C/C++ codebases के अलावा भी दूसरे targets पर हमला होते देखे जाएँ
browsers sandboxing की वजह से मजबूत हुए हैं, लेकिन OS अब भी sandbox escape की कमज़ोर कड़ी है
LLM bugs बहुत तेज़ी से ढूँढ़ रहे हैं, इसलिए chain attacks आसान हो गए हैं
KASLR अब भी LPE defense में लगभग बेकार है, और इंसान भी लगातार नए bugs ढूँढ़ते ही जा रहे हैं
आख़िर में यह नतीजा बस इसी बात का स्वाभाविक परिणाम लगता है कि “agent program state को अच्छी तरह explore करता है”
Anthropic दरअसल यह दिखा रहा है कि इंसान जहाँ inefficient हैं, वहाँ compute डालकर bugs ढूँढ़े जा सकते हैं
Project Glasswing पुरानी vulnerabilities को पहले से हटाने की कोशिश है,
और आगे के attacks के नई code से आने की संभावना ज़्यादा है
समझ नहीं आता कि BSD code attack target क्यों नहीं है और सिर्फ Electron apps पर ही हमला क्यों होना चाहिए
हो सकता है उन्होंने खुद उससे भी ज़्यादा vulnerabilities बना दी हों
लेख पढ़ते-पढ़ते समझ ही नहीं आता कि आखिर कहना क्या चाह रहे हैं
संबंधित threads हैं
System Card: Claude Mythos Preview और
Project Glasswing
समझ नहीं आता कि किन threads को merge करना चाहिए
हालाँकि Glasswing और इस thread को merge करना ठीक हो सकता है
LLMs ऐसे क्षेत्रों में बहुत मज़बूत हैं जहाँ reward function साफ़ हो, जैसे vulnerability exploitation
इसके उलट नया और अच्छी तरह designed software बनाना ऐसा काम है जहाँ reward अस्पष्ट है, इसलिए प्रगति धीमी है
ऐसा लगता है कि अगर पर्याप्त GPUs मिल जाएँ, तो gradient descent से दुनिया पर कब्ज़ा भी संभव हो जाएगा
जैसे, “क्या इस process ने ~/.ssh/id_rsa को पढ़ने की कोशिश की?” यह एक binary judgment है
defense कठिन इसलिए है क्योंकि उसका फोकस policy पर नहीं बल्कि intent interpretation पर होता है
1988 की confused deputy समस्या की तरह, सवाल यह होना चाहिए कि permission है या नहीं, न कि request की वजह क्या है
दिलचस्प बात यह है कि OpenBSD ने काफ़ी अच्छी तरह टिकाव दिखाया
Mythos Preview ने हज़ारों बार test किया, लेकिन जो मिला वह सिर्फ TCP implementation की DoS vulnerability जैसा था
Linux kernel के कई LPEs की तुलना में यह कहीं बेहतर नतीजा है
अगर वह समय आ गया जब AI का दुरुपयोग समाज को साफ़ तौर पर ढहा देने लायक हो जाए,
तो शायद AI safety के नज़रिए से वही उल्टा अच्छा परिणाम भी हो सकता है
इस स्तर की security scanning बहुत महँगी है,
इसलिए F/OSS ecosystem के कुछ हिस्सों के गायब होने का जोखिम है
इसलिए नहीं लगता कि इससे खेल पूरी तरह बदल जाएगा
तो LLM सच में बहुत सारे bugs ढूँढ़ रहे हैं
“AI code मत लिखो!” से “वाह, इसने सच में bug ढूँढ़ लिया” तक माहौल बदलना दिलचस्प है
प्रगति अब डरावनी रफ़्तार से हो रही है, इसलिए मन करता है कि किसी बिंदु पर LLM intelligence plateau कर जाए
क्योंकि RL अच्छी तरह scale होता है और reproducible है
models को security के लिए विशेष रूप से train भी नहीं किया गया, इसलिए अभी काफ़ी गुंजाइश बाकी है
attack risk बढ़ा है, लेकिन उसी toolset से defense भी किया जा सकता है, इसलिए सतर्क आशावाद है
संबंधित उदाहरण के लिए यह लेख देखें
जैसे governments भी vulnerabilities exploit कर सकती हैं, AI research को रोका नहीं जा सकता,
इसलिए बेहतर होगा कि automatic vulnerability disclosure system बनाया जाए जो बड़े projects को सूचित करे
LLM companies के लिए ऐसे security review service को paid model में देना भी संभव है
अगर मापेंगे नहीं, तो सुधार भी नहीं कर पाएँगे
उससे पहले तक तो growth curve जारी ही रहेगा
आख़िरकार कोई न कोई innovation करता ही रहेगा
नाम देखकर एक पल के लिए Tales of Symphonia याद आ गया