Anthropic के Mythos Preview ने 27 साल पुराना OpenBSD bug $50 से कम में खोजा; general release बंद

7 अप्रैल को, Anthropic ने Claude Mythos का preview किया और red.anthropic.com पर ठोस संख्याओं के साथ एक red-team रिपोर्ट प्रकाशित की। दो हफ्ते बाद कहानी प्रेस में ज़ोर से उतर रही है क्योंकि निहितार्थ समझ आ रहे हैं। Mythos generally release नहीं हो रहा। यह Project Glasswing partners के सीमित सेट को जा रहा है — Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft, और Palo Alto Networks उनमें, कुल 40 organizations — साथ ही चुने हुए open-source security समूह जिनमें OpenSSF, Alpha-Omega, और Apache Software Foundation शामिल हैं। Anthropic ने industrial partners को $100M usage credits में और open-source समूहों को $4M प्रतिबद्ध किए।

Benchmarks वह हिस्सा हैं जिसने बातचीत बदली। Firefox JavaScript exploit development पर, Opus 4.6 ने कई सौ प्रयासों में 2 working exploits बनाए, लगभग शून्य सफलता दर। Mythos ने 181 working exploits बनाए साथ ही 29 अतिरिक्त प्रयासों पर register control। OSS-Fuzz corpus (1,000 repositories, लगभग 7,000 fuzz entry points) पर, Opus 4.6 और Sonnet 4.6 ने 150 से 175 tier-1 crashes, लगभग 100 tier-2, और प्रत्येक एक tier-3 लैंड किए। Mythos ने 595 tier-1-2 crashes, मुट्ठी भर tier-3 और tier-4, और full control-flow hijack का प्रतिनिधित्व करने वाले 10 tier-5 findings लैंड किए। Anthropic की vulnerability list में OpenBSD में 27 साल पुराना SACK TCP bug (remote DoS), FFmpeg में 16 साल पुरानी H.264 codec vulnerability (codebase 20+ साल पुराना), FreeBSD NFS में 17 साल पुराना unauthenticated RCE (CVE-2026-4747), 2 से 4 vulnerabilities को जोड़ने वाले Linux kernel privilege escalation chains, हर major browser में sandbox escape के साथ JIT heap-spray exploits, और TLS, AES-GCM, और SSH implementations में कमजोरियां शामिल हैं। Anthropic कहता है 99% से अधिक findings unpatched हैं; 1% से कम publicly discussable हैं।

अर्थशास्त्र वह हिस्सा है जिस पर बैठना है। विशिष्ट 27-साल पुराना OpenBSD bug खोजने में compute के $50 से कम लगे। OpenBSD के विरुद्ध एक हज़ार exploration campaign चलाने में कुल $20,000 से कम लगे। FFmpeg findings में मिलकर लगभग $10,000 लगे। N-day exploit development प्रति functional exploit $1,000 से $2,000 चलता है। पहली बार, foundational software में critical vulnerabilities खोजने की cost curve patching और deployment की cost curve से नीचे गिर गई है। Validation data इसका समर्थन करता है: 198 manually reviewed Mythos reports में से 89% Claude के अपने severity assessment से बिल्कुल मेल खाए, और 98% एक severity level के भीतर मेल खाए। यह hallucinated vulnerability theater नहीं है। Anthropic की प्रतिक्रिया model को generally ship न करना है: Mythos Preview Project Glasswing के अंदर रहता है, general availability स्पष्ट रूप से खारिज।

अगर आप असली attack surface वाला software ship करते हैं या निर्भर करते हैं, तीन चीजें। एक, 99% unpatched आंकड़ा एक मौन स्वीकृति है कि मौजूदा coordinated disclosure throughput इस capability के findings को absorb नहीं कर सकता — अगर आप CVE history वाला package बनाए रखते हैं, equivalent capabilities के preview access से बाहर आने से पहले अपनी response pipeline को तैयार करें। दो, Mythos की पुराने code (27, 17, 16 साल) पर सफलता बताती है कि AI-assisted audit मामला sexy नए protocols के बारे में नहीं है; यह उन boring mature पुराने के बारे में है जिन्हें एक दशक में किसी ने review नहीं किया। तीन, सुरक्षा के रूप में withholding एक precedent है, समाधान नहीं। Anthropic ने इस model को generally release न करने का चुनाव किया है, लेकिन capability curve capability curve है। अभी और equivalent models की commodity availability के बीच का अंतर एक grace period है, guarantee नहीं।