1作者: ThePhillipLin3 个月前原帖
尽管Anthropic的Mythos声称非常高大上,但这个测试工具却让人感到困惑且愚蠢。<p>根据报告,它通过“听起来有多可疑”来对每个文件进行排名,然后用简短的指示循环处理每个文件,要求“找出一个漏洞”,将候选项交给评审和ASan检查器——结果零日漏洞就这样显现出来。<p>这本不应该有效。<p>但它确实有效。<p>在miniupnp上,使用20美元的计划,Opus 4.6可靠地重新发现了旧版本中的已知CVE,甚至还发现了一个新的远程全局缓冲区溢出(非默认配置)。<p>那么,如果这个测试工具实际上是好的——也就是说,配备了适当的安全工具,会发生什么呢?<p>我是一名学生,而不是安全工程师,因此我非常希望能得到关于我计划的工具路线图的想法或批评。<p>(如果你有200美元的计划并且有额外的使用额度,可以试试看,看看它是否能在你自己的C代码中发现零日漏洞。)