harsha-gouru/claude-mythos-re
GitHub: harsha-gouru/claude-mythos-re
这是一个防御性反向工程指南和脚手架,用于研究和复现Claude Mythos的漏洞发现机制,以加强AI系统安全。
Stars: 1 | Forks: 0
# Claude Mythos 反向工程手册
一份针对 **Claude Mythos 风格漏洞发现** 的防御性反向工程指南,外加一个手动脚手架 (`mythos-lite`),用于将 Mythos 的模型内行为外部化,适用于非 Mythos 模型(如 Opus 4.7, GPT-5.5)。
**主要来源:**
- [Claude Mythos 预览版系统卡](https://www-cdn.anthropic.com/08ab9158070959f88f296514c21b7facce6f52bc.pdf) (2026年4月7日,245页)
- [协调漏洞披露仪表板](https://red.anthropic.com/2026/cvd/) (实时更新,截至 2026-05-22 的清单 SHA-3 `b7a0c5362...`)
- [协调漏洞披露策略](https://www.anthropic.com/coordinated-vulnerability-disclosure) (时间线:默认90天 / 活跃利用漏洞7天 / 无响应30天 / 补丁发布后详细信息保留45天)
- [Glasswing 项目](https://www.anthropic.com/project/glasswing) — 仅限受邀者以每百万输入/输出 token 25美元 / 125美元的价格访问 Mythos Preview,约50个合作组织
**概览:**
- 截至 2026-05-22 的仪表板漏斗数据:23,019 个候选 → 1,900 个已分类 → 1,726 个已验证(真阳性率 90.8%)→ 1,596 个已披露 → 1,451 个已确认 → 97 个已打补丁 → 88 个 CVE/GHSA(26 个公开)。
- 2026-05-20 公开批次中的 26 个补丁已提取到 `patches/` 目录。
- `mythos-lite` 脚手架成本目标:针对约 1 万行代码的目标,在 k=3 + 验证器下约 56 美元;精简版用于快速迭代约 15 美元。
## 内容概览
| 路径 | 用途 |
|---|---|
| [`docs/orchestration.md`](docs/orchestration.md) | 根据系统卡更正:轻量级执行器 + 强大模型 + 模型内子智能体生成。扫描器系列目录见文末。 |
| [`docs/mythos-lite-v0.md`](docs/mythos-lite-v0.md) | 手动脚手架设计 — 7 阶段流水线,基于 Anthropic 原则关于沙箱、验证器、状态存储的决策。 |
| [`docs/replications-diff.md`](docs/replications-diff.md) | Keyvanhardani 与 FareedKhan 的外部复现脚手架对比,代码级比较。 |
| [`docs/bug-atlas.md`](docs/bug-atlas.md) | 公开的 Mythos / Claude / Anthropic 相关修复 — 提交 ID、补丁、缺陷类别、不变量。包含 2026-05-20 公开的 26 个发现。 |
| [`docs/root-cause-patterns.md`](docs/root-cause-patterns.md) | 从公开修复中提取的模式分类法。 |
| [`docs/source-links.md`](docs/source-links.md) | 主要来源、安全公告链接、仓库克隆映射。 |
| [`data/bugs.yaml`](data/bugs.yaml) | 结构化清单(56 个条目,所有补丁引用均已解析)。 |
| [`patches/`](patches/) | 提取的公开修复提交 — 30 个原始 + 26 个来自 2026-05-20 披露批次。 |
| `replications/` (已被 gitignore) | 外部复现脚手架。设置命令如下。 |
| [`scripts/extract_patches.sh`](scripts/extract_patches.sh) | 从本地源代码克隆重建补丁文件。 |
## 核心论点 — 更正于 2026-05-27
系统卡发布前的论点(编排 > 巨大的上下文,带有协调者-专家集群)**部分错误**。2026 年 4 月的[系统卡](https://www-cdn.anthropic.com/08ab9158070959f88f296514c21b7facce6f52bc.pdf) (§3.1, §3.3, §4.2.3, §7) 使实际架构清晰化。摘自 §3.1:
具体而言这意味着:
- **一个模型 + 一个轻量级智能体执行器。** 没有协调者-专家流水线。
- **100 万 token 上下文,节制使用。** Mythos 每个任务使用约 22.6 万 token,而 Opus 4.6 在长上下文评估中使用 111 万 — 它智能地切片,但执行器并不强制使用小切片。
- **子智能体生成是模型内行为**,而非手写脚手架。Mythos 指挥自己的子智能体并捕捉它们的错误(§4 约第 2417 行,§7 约第 6996-7048 行)。
- **能力差距在模型内部,而非编排中。** 在相同执行器下,CyberGym 得分 0.83 vs Opus 4.6 的 0.67;Firefox 147 利用 4 个不同的漏洞实现 RCE,而 Opus 4.6 只利用 1 个。
因此,`mythos-lite` 的框架是**将 Mythos 在模型内所做的事情外部化**,以便非 Mythos 模型(Opus 4.7, GPT-5.5)能够执行类似的工作:显式规划器、并行 Claude Code 搜索会话、新鲜上下文验证器、Docker 沙箱中的可执行验证器、SQLite 交互图。完整设计见 `docs/mythos-lite-v0.md`。
## 范围与非目标
**范围内(防御性):**
- 研究公开的维护者编写的修复提交及其恢复的不变量
- 设计一个近似 Mythos 发现行为的脚手架,供非 Mythos 模型使用
- 将系统卡和仪表板负载作为主要来源进行阅读
**范围外:**
- 无 PoC 代码,无利用链,无武器化负载。该指南链接到公开的修复,而非崩溃。
- 无自主披露或自主修补。任何发现都遵循[协调漏洞披露策略](https://www.anthropic.com/coordinated-vulnerability-disclosure)进行人工审查。
- 无 [Claude Code Security](https://www.anthropic.com/research/claude-code-security) 的商业替代品 — Anthropic 会发布该产品;`mythos-lite` 仅供学习。
- 不试图缩小模型能力差距。该脚手架无法使 Opus 4.7 在 Firefox 级漏洞利用构建方面匹敌 Mythos。
## 精选公开漏洞
完整的 56 行表格见 `docs/bug-atlas.md`。以下为最高优先级的部分:
| 项目 | 漏洞形态 | 恢复的不变量 |
|---|---|---|
| nginx | WebDAV 别名下溢 → 未授权文件写入 (CVE-2026-27654,严重) | 在缓冲区计算前验证目标 URI 长度与别名关系 |
| Nomad | 主机卷路径遍历 (CVE-2026-7474,严重) | 规范化并将主机卷路径限制在根目录内 |
| Temporal | 跨命名空间工作流操纵 (CVE-2026-5199,严重) | 每个工作流操作处理器都需要命名空间作用域 |
| Ghost | Content API SQL 注入 (GHSA-w52v / CVE-2026-26980,严重) | 对所有 Content API 查询进行参数化 |
| gitoxide | 恶意子模块更新导致 RCE (GHSA-f26g,高危) | 在更新钩子前验证子模块 URL/路径 |
| wolfSSL (×9 个 CVE) | ARIA-GCM 随机数重用、ECCSI 伪造、CMAC 回绕、ChaCha20-Poly1305 未验证标签、CMS GCM 标签截断、X509 叶节点绕过、ECH 溢出、X509 notAfter 溢出、AKI 溢出 | 每个加密原语的不变量 |
| Mastodon | LD-Sig 绕过(命名图)+ IPv6 `::` SSRF | 规范化 JSON-LD + 地址验证 |
| FreeRDP | cliprdr(capslen)、平面 RLE、gfx 表面解码中的 3 个不同堆溢出 | 每个调用点的边界检查 |
| ImageMagick | MVG 模式 CopyMagickString 溢出 | 目标大小 = 实际缓冲区长度 |
| libyang | XML 元数据列表 UAF | 原子更新列表头与元素移除 |
| OpenBSD TCP SACK | 整数溢出后接受无效 SACK 序列 → 内核崩溃 | 在 SACK 列表处理前验证序列范围 |
| OpenBSD pgrp/fork | fork 期间复制了陈旧的进程组指针 | 半创建的子进程不得继承活跃的所有权指针 |
| FFmpeg H.264 | 65,536 个切片后 `0xFFFF` 哨兵值冲突 | 运行时 ID 不得与哨兵值冲突 |
| FreeBSD RPCSEC_GSS | 未认证的栈溢出 | 协议长度必须受目标大小限制 |
| Linux futex | 混合的 requeue 标志破坏生命周期假设 | 两个 futex 端点需要相同的语义 |
| Firefox 150 | DOM/Wasm/内存安全批量修复(Mozilla 认可 Mythos 发现了 271 个问题) | 罕见的浏览器状态组合需要强化不变量 |
## mythos-lite v0 流水线
```
flowchart TD
A[0 language detect] --> B[1 sink slice]
B --> C[2 file rank]
C --> D[3a threat model
Opus 4.7 max thinking] D --> E[3b engagement plan] E --> F[4 parallel hunters
claude -p sessions, k=3] F --> G[5 validator
fresh-ctx Opus 4.7 + Read/Grep/Glob] G --> H[6 verifier
fresh Claude Code session + subprocess PoC] H --> I[7 aggregate + FP memory] ``` 此模式匹配 Anthropic 的 [Claude Code Security](https://www.anthropic.com/research/claude-code-security)(多阶段验证 + 同模型新鲜上下文重新检查 + 严重性 + 置信度 + 人工最终审批)—— 我们正在外部化他们内部使用的相同协调模式。每个阶段基于 Anthropic 原则的决策位于 `docs/mythos-lite-v0.md`。我们研究的两个外部复现的代码级比较见 `docs/replications-diff.md`。 ## 披露流水线(与发现分开) 仪表板上的漏斗数据是**运营编排**,而非发现引擎: ``` 23,019 candidates (model + harness output) ↓ Anthropic / 6 external firms triage 1,900 triaged → 1,726 verified (TPR 90.8%) ↓ capacity-bounded human review 1,596 reported to maintainers (median 0.2d to ack) ↓ (median 6.2d to patch) 97 patched · 88 advisories · 26 public on red.anthropic.com ``` [协调漏洞披露策略](https://www.anthropic.com/coordinated-vulnerability-disclosure)时间线: - **90 天** 默认公开披露(若供应商有进展可延长 14 天) - **7 天** 用于被活跃利用的严重漏洞 - **30 天** 无响应 → 升级给外部协调员 - **45 天** 补丁发布后保留期,之后才发布完整技术细节 [玻璃翼项目](https://www.anthropic.com/project/glasswing)向约 50 个合作组织(AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks,以及另外 40 多个)提供 Mythos,每百万 token 25 美元 / 125 美元。这是访问模式 — Mythos 并非普遍可用。 ## 值得构建的扫描器系列 - 哨兵值冲突扫描器 (FFmpeg H.264) - 指针移位 / 陈旧容量扫描器 (FFmpeg MPEG-TS IOD) - 所有权转移提前返回扫描器 (FFmpeg JPEG-XS UAF) - 协议长度复制扫描器 (FreeBSD RPCSEC_GSS, nginx WebDAV 别名) - 双向生命周期清理扫描器 (OpenBSD pgrp, FreeBSD TTY, libyang) - 加密不变量扫描器 (Botan, 所有 9 个 wolfSSL CVE) - 路径 / 边界扫描器 (Nomad, Temporal, MinIO, junrar) - AEAD 随机数 + 标签扫描器 (wolfSSL ARIA-GCM, ChaCha20-Poly1305, CMS GCM) - 并发/竞态状态扫描器 ## 设置 ``` git clone https://github.com/harsha-gouru/claude-mythos-re.git cd claude-mythos-re # 可选:重新克隆我们研究的两个 outside-in 脚手架。 mkdir -p replications && cd replications git clone --depth 1 https://github.com/Keyvanhardani/Mythos-research.git keyvanhardani-mythos-research git clone --depth 1 https://github.com/FareedKhan-dev/claude-mythos-architecture.git fareedkhan-mythos-architecture ``` `replications/` 目录已被 gitignore — 上游仓库使用 MIT/Apache 许可,需要重新克隆。 ## 快速阅读路径 ``` less docs/mythos-lite-v0.md # the scaffold design (start here) less docs/orchestration.md # corrected thesis + system card citations less docs/replications-diff.md # the two scaffolds we studied less docs/bug-atlas.md # the public fix corpus (56 entries) less patches/nginx-2026-27654-webdav-alias-destination-length.patch less patches/wolfssl-2026-5466-eccsi-r0-s0-forgery.patch less patches/ffmpeg-2026-h264-slice-sentinel.patch less patches/openbsd-2026-pgrp-race-uaf.patch ```
Opus 4.7 max thinking] D --> E[3b engagement plan] E --> F[4 parallel hunters
claude -p sessions, k=3] F --> G[5 validator
fresh-ctx Opus 4.7 + Read/Grep/Glob] G --> H[6 verifier
fresh Claude Code session + subprocess PoC] H --> I[7 aggregate + FP memory] ``` 此模式匹配 Anthropic 的 [Claude Code Security](https://www.anthropic.com/research/claude-code-security)(多阶段验证 + 同模型新鲜上下文重新检查 + 严重性 + 置信度 + 人工最终审批)—— 我们正在外部化他们内部使用的相同协调模式。每个阶段基于 Anthropic 原则的决策位于 `docs/mythos-lite-v0.md`。我们研究的两个外部复现的代码级比较见 `docs/replications-diff.md`。 ## 披露流水线(与发现分开) 仪表板上的漏斗数据是**运营编排**,而非发现引擎: ``` 23,019 candidates (model + harness output) ↓ Anthropic / 6 external firms triage 1,900 triaged → 1,726 verified (TPR 90.8%) ↓ capacity-bounded human review 1,596 reported to maintainers (median 0.2d to ack) ↓ (median 6.2d to patch) 97 patched · 88 advisories · 26 public on red.anthropic.com ``` [协调漏洞披露策略](https://www.anthropic.com/coordinated-vulnerability-disclosure)时间线: - **90 天** 默认公开披露(若供应商有进展可延长 14 天) - **7 天** 用于被活跃利用的严重漏洞 - **30 天** 无响应 → 升级给外部协调员 - **45 天** 补丁发布后保留期,之后才发布完整技术细节 [玻璃翼项目](https://www.anthropic.com/project/glasswing)向约 50 个合作组织(AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks,以及另外 40 多个)提供 Mythos,每百万 token 25 美元 / 125 美元。这是访问模式 — Mythos 并非普遍可用。 ## 值得构建的扫描器系列 - 哨兵值冲突扫描器 (FFmpeg H.264) - 指针移位 / 陈旧容量扫描器 (FFmpeg MPEG-TS IOD) - 所有权转移提前返回扫描器 (FFmpeg JPEG-XS UAF) - 协议长度复制扫描器 (FreeBSD RPCSEC_GSS, nginx WebDAV 别名) - 双向生命周期清理扫描器 (OpenBSD pgrp, FreeBSD TTY, libyang) - 加密不变量扫描器 (Botan, 所有 9 个 wolfSSL CVE) - 路径 / 边界扫描器 (Nomad, Temporal, MinIO, junrar) - AEAD 随机数 + 标签扫描器 (wolfSSL ARIA-GCM, ChaCha20-Poly1305, CMS GCM) - 并发/竞态状态扫描器 ## 设置 ``` git clone https://github.com/harsha-gouru/claude-mythos-re.git cd claude-mythos-re # 可选:重新克隆我们研究的两个 outside-in 脚手架。 mkdir -p replications && cd replications git clone --depth 1 https://github.com/Keyvanhardani/Mythos-research.git keyvanhardani-mythos-research git clone --depth 1 https://github.com/FareedKhan-dev/claude-mythos-architecture.git fareedkhan-mythos-architecture ``` `replications/` 目录已被 gitignore — 上游仓库使用 MIT/Apache 许可,需要重新克隆。 ## 快速阅读路径 ``` less docs/mythos-lite-v0.md # the scaffold design (start here) less docs/orchestration.md # corrected thesis + system card citations less docs/replications-diff.md # the two scaffolds we studied less docs/bug-atlas.md # the public fix corpus (56 entries) less patches/nginx-2026-27654-webdav-alias-destination-length.patch less patches/wolfssl-2026-5466-eccsi-r0-s0-forgery.patch less patches/ffmpeg-2026-h264-slice-sentinel.patch less patches/openbsd-2026-pgrp-race-uaf.patch ```
标签:Claude Mythos, Cutter, CVE追踪, scaffold设计, SOC工具, 云资产清单, 人工智能安全, 代码分析, 凭证管理, 协同漏洞披露, 合规性, 外部化模型行为, 安全披露, 工具开发, 情报收集, 成本优化, 文档编制, 模型行为外部化, 漏洞发现, 漏洞研究, 端点安全, 系统卡分析, 统计分析, 网络安全, 补丁管理, 请求拦截, 迭代开发, 逆向工具, 逆向工程, 防御性逆向工程, 隐私保护