Категория > Новости > Anthropic: Claude Opus 4.6 нашел более 500 уязвимостей в опенсорсных библиотеках - «Новости»

Anthropic: Claude Opus 4.6 нашел более 500 уязвимостей в опенсорсных библиотеках - «Новости»


Вчера, 10:30. Автор: Palmer

Компания Anthropic сообщила, что ее новейшая языковая модель Claude Opus 4.6 обнаружила свыше 500 ранее неизвестных серьезных уязвимостей в опенсорсных проектах, включая Ghostscript, OpenSC и CGIF.


Модель Claude Opus 4.6, представленная в конце прошлой недели, получила улучшенные навыки работы с кодом: теперь она умеет проводить ревью, отлаживать программы и справляется с задачами финансового анализа, исследований и создания документов. По словам представителей Anthropic, новая версия «заметно лучше» находит серьезные уязвимости, причем для этого не нужны специальные инструменты, промпты или дополнительные настройки. В компании говорят:


«Opus 4.6 читает и анализирует код так же, как это делает человек-исследователь: изучает прошлые исправления, чтобы найти похожие проблемы, замечает типичные паттерны ошибок и понимает логику достаточно глубоко, чтобы определить, какой именно input сломает программу».


Перед релизом команда Frontier Red Team проверила возможности модели в виртуальной среде. ИИ дали доступ к стандартным инструментам (отладчикам и фаззерам) и поставили задачу искать уязвимости в опенсорсных проектах. Идея заключалась в том, чтобы оценить способности модели «из коробки», без инструкций по использованию инструментов и подсказок, которые помогли бы ей искать уязвимости эффективнее. Каждую найденную в итоге проблему проверили вручную, чтобы исключить галлюцинации.


В качестве примеров обнаруженных Claude Opus 4.6 проблем перечислено несколько багов, которые уже были закрыты разработчиками.



  • Ghostscript — модель проанализировала историю коммитов в Git и нашла уязвимость, которая могла приводить к сбою из-за отсутствия проверки границ массива.

  • OpenSC — LLM изучила вызовы функций вроде strrchr() и strcat(), и обнаружила проблему переполнения буфера.

  • CGIF — в библиотеке была найдена уязвимость переполнения буфера хипа, которую исправили в версии 0.5.1. В Anthropic отмечают, что этот баг особенно интересен: чтобы его воспроизвести, нужно понимать алгоритм LZW и его связь с форматом GIF. Классические фаззеры плохо справляются с такими проблемами, потому как требуется очень специфическая последовательность операций. Даже при 100% покрытии строк и веток кода эта уязвимость могла остаться для них незамеченной.


Anthropic позиционирует свои модели как важный инструмент для защитников, который помогает уравнять шансы в борьбе с атакующими. Однако в компании признают риски: по мере выявления новых угроз будут дорабатываться меры безопасности, чтобы предотвратить возможные злоупотребления LLM.

Перейти обратно к новости