Anthropic: Claude Opus 4.6 нашел более 500 уязвимостей в опенсорсных библиотеках - «Новости» » Основы Интернет

Anthropic: Claude Opus 4.6 нашел более 500 уязвимостей в опенсорсных библиотеках - «Новости»

14:30, 10-фев-2026
Преимущества стилей / Новости / Вёрстка / Блог для вебмастеров
Clifford
0

Модель Claude Opus 4.6, представленная в конце прошлой недели, получила улучшенные навыки работы с кодом: теперь она умеет проводить ревью, отлаживать программы и справляется с задачами финансового анализа, исследований и создания документов. По словам представителей Anthropic, новая версия «заметно лучше» находит серьезные уязвимости, причем для этого не нужны специальные инструменты, промпты или дополнительные настройки. В компании говорят:

«Opus 4.6 читает и анализирует код так же, как это делает человек-исследователь: изучает прошлые исправления, чтобы найти похожие проблемы, замечает типичные паттерны ошибок и понимает логику достаточно глубоко, чтобы определить, какой именно input сломает программу».

Перед релизом команда Frontier Red Team проверила возможности модели в виртуальной среде. ИИ дали доступ к стандартным инструментам (отладчикам и фаззерам) и поставили задачу искать уязвимости в опенсорсных проектах. Идея заключалась в том, чтобы оценить способности модели «из коробки», без инструкций по использованию инструментов и подсказок, которые помогли бы ей искать уязвимости эффективнее. Каждую найденную в итоге проблему проверили вручную, чтобы исключить галлюцинации.

В качестве примеров обнаруженных Claude Opus 4.6 проблем перечислено несколько багов, которые уже были закрыты разработчиками.

Ghostscript — модель проанализировала историю коммитов в Git и нашла уязвимость, которая могла приводить к сбою из-за отсутствия проверки границ массива.

OpenSC — LLM изучила вызовы функций вроде strrchr() и strcat(), и обнаружила проблему переполнения буфера.

CGIF — в библиотеке была найдена уязвимость переполнения буфера хипа, которую исправили в версии 0.5.1. В Anthropic отмечают, что этот баг особенно интересен: чтобы его воспроизвести, нужно понимать алгоритм LZW и его связь с форматом GIF. Классические фаззеры плохо справляются с такими проблемами, потому как требуется очень специфическая последовательность операций. Даже при 100% покрытии строк и веток кода эта уязвимость могла остаться для них незамеченной.

Anthropic позиционирует свои модели как важный инструмент для защитников, который помогает уравнять шансы в борьбе с атакующими. Однако в компании признают риски: по мере выявления новых угроз будут дорабатываться меры безопасности, чтобы предотвратить возможные злоупотребления LLM.

Компания Anthropic сообщила, что ее новейшая языковая модель Claude Opus 4.6 обнаружила свыше 500 ранее неизвестных серьезных уязвимостей в опенсорсных проектах, включая Ghostscript, OpenSC и CGIF. Модель Claude Opus 4.6, представленная в конце прошлой недели, получила улучшенные навыки работы с кодом: теперь она умеет проводить ревью, отлаживать программы и справляется с задачами финансового анализа, исследований и создания документов. По словам представителей Anthropic, новая версия «заметно лучше» находит серьезные уязвимости, причем для этого не нужны специальные инструменты, промпты или дополнительные настройки. В компании говорят: «Opus 4.6 читает и анализирует код так же, как это делает человек-исследователь: изучает прошлые исправления, чтобы найти похожие проблемы, замечает типичные паттерны ошибок и понимает логику достаточно глубоко, чтобы определить, какой именно input сломает программу». Перед релизом команда Frontier Red Team проверила возможности модели в виртуальной среде. ИИ дали доступ к стандартным инструментам (отладчикам и фаззерам) и поставили задачу искать уязвимости в опенсорсных проектах. Идея заключалась в том, чтобы оценить способности модели «из коробки», без инструкций по использованию инструментов и подсказок, которые помогли бы ей искать уязвимости эффективнее. Каждую найденную в итоге проблему проверили вручную, чтобы исключить галлюцинации. В качестве примеров обнаруженных Claude Opus 4.6 проблем перечислено несколько багов, которые уже были закрыты разработчиками. Ghostscript — модель проанализировала историю коммитов в Git и нашла уязвимость, которая могла приводить к сбою из-за отсутствия проверки границ массива. OpenSC — LLM изучила вызовы функций вроде strrchr() и strcat(), и обнаружила проблему переполнения буфера. CGIF — в библиотеке была найдена уязвимость переполнения буфера хипа, которую исправили в версии 0.5.1. В Anthropic отмечают, что этот баг особенно интересен: чтобы его воспроизвести, нужно понимать алгоритм LZW и его связь с форматом GIF. Классические фаззеры плохо справляются с такими проблемами, потому как требуется очень специфическая последовательность операций. Даже при 100% покрытии строк и веток кода эта уязвимость могла остаться для них незамеченной. Anthropic позиционирует свои модели как важный инструмент для защитников, который помогает уравнять шансы в борьбе с атакующими. Однако в компании признают риски: по мере выявления новых угроз будут дорабатываться меры безопасности, чтобы предотвратить возможные злоупотребления LLM.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.