Anthropic нашла более 10 тыс. опасных уязвимостей с помощью Claude Mythos
Anthropic опубликовала первый промежуточный отчет по Project Glasswing — инициативе, в рамках которой модель Claude Mythos Preview ищет критические уязвимости в ключевом программном обеспечении. За первый месяц около 50 партнеров проекта вместе выявили более 10 тыс. уязвимостей высокого и критического уровня опасности. У некоторых участников скорость поиска багов выросла более чем в десять раз.
Среди измеримых результатов — данные Cloudflare. Компания обнаружила 2000 уязвимостей в своих критически важных системах, 400 из них отнесли к высокому или критическому уровню опасности. При этом, по оценке команды Cloudflare, доля ложных срабатываний оказалась ниже, чем при ручном тестировании.
Mozilla в ходе тестирования Mythos Preview выявила и устранила 271 уязвимость в Firefox 150 — более чем в десять раз больше, чем в Firefox 148 при использовании Claude Opus 4.6. Британский Институт безопасности ИИ сообщил, что Mythos Preview стала первой моделью, которая полностью прошла два его киберполигона — симуляции многоступенчатых кибератак.
Вместе с тем Anthropic самостоятельно просканировала более 1000 open-source-проектов, на которых держится значительная часть интернет-инфраструктуры.
Модель выявила 23 019 потенциальных уязвимостей. Из них 6202 сначала оценили как уязвимости высокого или критического уровня опасности. Независимые компании уже проверили 1752 случая, и 90,6% из них, или 1587 уязвимостей, подтвердились как реальные. Еще 62,4%, или 1094 уязвимости, подтвердили как высокоопасные или критические. При текущем темпе Anthropic рассчитывает в итоге выявить около 3900 критических и высокоопасных уязвимостей только в открытом коде.
Один из задокументированных случаев — уязвимость в библиотеке wolfSSL, которую используют в миллиардах устройств по всему миру. Mythos Preview построила эксплойт, с помощью которого злоумышленник мог подделать сертификаты и создать копии сайтов банков или почтовых сервисов, неотличимые от настоящих. Уязвимость получила идентификатор CVE-2026−5194 и уже закрыта. Полный технический анализ Anthropic обещает опубликовать в ближайшие недели.
Ключевой вывод Anthropic — узким местом стало уже не обнаружение уязвимостей, а их проверка, раскрытие и устранение. На подготовку патча для уязвимости высокого уровня опасности в среднем уходит две недели.
Часть мейнтейнеров open-source-проектов уже попросила компанию снизить темп раскрытия информации из-за перегрузки. Из 530 критических и высокоопасных уязвимостей, о которых разработчиков уже уведомили, на момент публикации отчета закрыли только 75. Это показывает системную проблему — модели класса Mythos резко снижают стоимость и время поиска уязвимостей, но инфраструктура их устранения пока не успевает за новым темпом.
В ответ Anthropic запустила Claude Security в публичной бете для корпоративных клиентов. Это инструмент для сканирования кодовой базы и автоматической генерации исправлений. За три недели после запуска с его помощью устранили более 2100 уязвимостей.
Anthropic также открыла Cyber Verification Program для специалистов по безопасности. Программа дает расширенный доступ к возможностям модели для разрешенных задач — пентестинга, исследований уязвимостей и атак «красной команды».
Anthropic пока не выпускает модели класса Mythos в открытый доступ. Компания объясняет это тем, что у нее еще нет достаточных защитных механизмов, которые могли бы предотвратить использование таких моделей во вредоносных целях.
По оценке компании, сопоставимые по мощности модели в обозримой перспективе появятся и у других ИИ-разработчиков. Поэтому масштабирование защитной инфраструктуры становится срочной задачей для всей отрасли. На следующем этапе Project Glasswing Anthropic планирует расширить партнерскую сеть и подключить правительства США и стран-союзников.
Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.
