Cal.com geht von Opensource zu Closed source, wegen Sicherheitsbedenken.
Das Video ist sehenswert:
https://twitter.com/pumfleet/status/2044406553508274554
Wird spannend sein wenn sich die exploit geschwindigkeit beschleunigen wird.
Denn der Verteidiger, der Softwarebesitzer der muss immer richtig sein. Der Angreifer nur einmal.
Wenn ich sehe wie gut wir Coding Agents mittlerweile darauf ausrichten können was zu knacken. Spannede Zeiten in denen wir leben. Viele Konzerne werden sich niemals so schnell anpassen können. Und viele Mittelständler die nur eine person haben die sich drum kümmert, werden wohl auch nicht alles absichern können.
Den eins ist sicher. Jede Software hat irgendwo einen Expoit. Einen Zeroday. 100tige Sicherheit gibt es nicht.
Das neueste Anthropic Model Claude Mythos ist so stark im autonomen entwickeln von Exploits, dass es nicht veröffentlicht wird, sondern nur einem kleinen Kreis sorgfältig ausgewählter Partner zugänglich gemacht wird: https://www.anthropic.com/glasswing
We do not plan to make Claude Mythos Preview generally available, but our eventual goal is to enable our users to safely deploy Mythos-class models at scale—for cybersecurity purposes, but also for the myriad other benefits that such highly capable models will bring. To do so, we need to make progress in developing cybersecurity (and other) safeguards that detect and block the model’s most dangerous outputs. We plan to launch new safeguards with an upcoming Claude Opus model, allowing us to improve and refine them with a model that does not pose the same level of risk as Mythos Preview.
...
Our internal evaluations showed that Opus 4.6 generally had a near-0% success rate at autonomous exploit development. But Mythos Preview is in a different league. For example, Opus 4.6 turned the vulnerabilities it had found in Mozilla’s Firefox 147 JavaScript engine—all patched in Firefox 148—into JavaScript shell exploits only two times out of several hundred attempts. We re-ran this experiment as a benchmark for Mythos Preview, which developed working exploits 181 times, and achieved register control on 29 more.
Das ist echt heftig! Bin sehr gespannt wie das alles ausgeht!
We re-ran this experiment as a benchmark... , which developed working exploits 181 times, and achieved register control on 29 more.
Hier nochmal die Relativen Zahlen. Die haben das als Benchmark gerunnt, das kann auch heißen dass Mythos nur einen Exploit gut 70-80x gefunden hat. Einen und den gleichen.
Die Ganzen Fixes sind in Github von vielen tools belegt. Anzweifeln kann man die nicht.
Die entscheidende Kennzahl haben sie nicht genannt:
Wie viel Compute wurde dafür verwendet.
Wenn 15 Mio für einen FFMPEG Zeroday exploit chain draufgeht, ist das nicht wirklich konkurrenzfähig. Auch mit 15 Mio wäre es impressive und das meinte ich mit meiner ausgangsnachricht. Das wird vermutlich bald alles so günstig sein.
Die haben das nur bei einem Exploit dazu geschrieben. Ich vermute selektive auswahl
Die übergangszeit zwischen es ist sehr günstig und die verteidiger software wird auch günstig. Das ist die spannende.
Und was das wohl für Digitale zahlungsmethoden wie Bitcoin zu bedeuten hat, kann man sich nur ausmalen.
Es waren 111 ZeroDays alleine bei Firefox