@bsi Naja, die meisten Sicherheistlücken, welche Claude Mythos gefunden haben, waren schon lange vorher bekannt. Es wird halt nichts in Softwaresicherheit investiert (kann man auch an den BSI toots über Citrix, Microsoftlücken usw. nachlesen).
Jeder (nicht nur Antrophic) kann so ein Modell erzeugen): 1) Static code analyzer, fuzzer über open source laufen lassen 2) Audit reports 3) Alles in einem LLM finetunen. Fertig. Das wird jeder großer Player mit einem Wimpernzug hinbekommen.

@bsi Da kommen allerdings dann keine neuen Lücken bei raus. Nur bekannte die nicht gefixed wurden, weil Geld gespart werden soll oder weil schon komplett abgedeckt durch Defense-in-Depth. Das Problem sind hier die Investitionen - bekannt sind die alle schon.
Der technische Anthropic Bericht übertreibt die Kritikalität, spart mit Details (ohje alles so schlimm können wir nicht teilen) und einige Fixes für kritischen Sicherheitslücken wurden durch ahem "update der Dokumentation" gefixt (botan)

@bsi Die Kernellücke in BSD ist Panikmache. Niemand macht NFS über Internet verfügbar. Niemand sollte NFS ohne Authentifizierung und ohne Firewallregeln im privaten Netzwerk haben. Klar das solche Lücken einfach über Defense-in-Depth abgedeckt werden können => deswegen auch 20 Jahre keinen Fix (war sicher vorher bekannt). Dazu null Investionsbereitschaft von Softwarefriremn in Security (nur in Security wo ihr Geschäftsmodel bedroht wird)