Сервис развивается: тестируем формат, собираем идеи, улучшаем сервис. Есть идеи?

Написать
Войти
Дайджесты
Иллюстрация к статье о Claude Mythos Preview и Project Glasswing

Утечка Claude Mythos 1: Anthropic готовит новый уровень Capybara

В сеть просочились данные о секретной модели Claude Mythos 1 от Anthropic. Работая в совершенно новой категории Capybara, эта ИИ-модель обнаружила более 10 тысяч критических уязвимостей в важнейших ИТ-системах в рамках Project Glasswing, опережая Opus и создавая серьезную дилемму безопасности.

Утечка Claude Mythos 1: Anthropic готовит новый уровень Capybara

Сфера искусственного интеллекта переживает важный сдвиг. Внезапное появление модели claude-mythos-1-preview в интерфейсе Claude Code и её мгновенное исчезновение вызвали бурные дискуссии. Хотя многие посчитали случившееся утечкой коммерческой линейки, реальность оказалась глубже. По неофициальным сведениям, модель принадлежит к принципиально новому классу систем, условно именуемому «семейством Capybara» (Capybara tier) — уровню автономного мышления и агентских способностей, который находится значительно выше нынешнего флагмана Claude 3.5 Opus.

Происходящее проливает свет на принципы разработки Anthropic. Как объясняют сотрудники компании, лаборатория выбирает ключевые направления способностей (capability bets) задолго до pre-training. В основе этой философии лежит неразрывная связь между самой моделью и её внешней обвязкой (harness). Тестирование новых архитектур происходит внутри специализированных сред взаимодействия вроде систем Claude, Cowork и Claude Code. Главный вывод: общий прогресс ИИ в написании кода и выполнении агентских сценариев автоматически переносится в сферу информационной безопасности. Умение модели глубоко понимать структуру сложного кода означает её автоматическую способность находить в нём уязвимости и патчить их. Именно эта сила была продемонстрирована в закрытом проекте Glasswing.

Таинственный след: Появление и исчезновение Claude Mythos Preview

Шум в медиапространстве начался с практических наблюдений. Джулиан Голди (Julian Goldie) и другие авторы обратили внимание на странные строки в обновлении кода утилит Anthropic и временный доступ к модели Mythos через закрытые каналы API. Сервисные логи указывали на то, что модель ориентирована исключительно на корпоративный сегмент высокой степени доверия (enterprise-only) и недоступна в рамках обычных подписок.

Этот сюжет послужил катализатором для раскрытия деталей Project Glasswing — инициативы Anthropic, направленной на контролируемый оборонительный аудит критической инфраструктуры. Разработчики Anthropic преследуют четкую цель: использовать потенциал генерации кода для того, чтобы укрепить защиту ПО до того, как аналогичные по мощности модели попадут в руки злоумышленников.

Project Glasswing: Оборонительный альянс гигантов

Официальные материалы Anthropic подтверждают существование закрытой оборонительной программы Project Glasswing, стартовавшей 7 апреля 2026 года. Модель Claude Mythos Preview была охарактеризована разработчиками как «наиболее способная система для программирования и выполнения автономных агентских задач на сегодняшний день». Проект представляет собой строго контролируемую среду исследования, созданную в формате взаимодействия с крупнейшими технологическими игроками.

В число партнеров запуска вошли AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks и Linux Foundation. Позже рамки проекта были расширены, и доступ к модели получили более 40 дополнительных организаций, что довело общую численность партнеров примерно до 50.

Масштаб поддержки подчеркивает серьезность намерений: Anthropic выделила до 100 миллионов долларов в виде бесплатных инфраструктурных кредитов (usage credits) для участников программы, а также направила 4 миллиона долларов в виде прямых пожертвований фондам безопасности ПО с открытым исходным кодом (включая Alpha Omega и OpenSSF). Для остальных участников стоимость работы с моделью через Claude API, Amazon Bedrock, Vertex AI и Microsoft Foundry была установлена на уровне: 25 долларов за миллион входных токенов (input tokens) и 125 долларов за миллион выходных токенов (output tokens).

Статистика прорыва: Более 10 000 уязвимостей за первый месяц

Результаты применения Claude Mythos Preview превзошли ожидания. Согласно отчету Anthropic от 22 мая 2026 года, всего за первый месяц работы около 50 партнерских организаций с помощью модели обнаружили более 10 000 уязвимостей высокой и критической степени опасности (high- or critical-severity vulnerabilities) в важнейших ИТ-системах.

Кейсы участников наглядно демонстрируют этот прорыв:

  • Cloudflare провела аудит своих сетевых платформ. Модель обнаружила порядка 2000 багов, из которых 400 были классифицированы как критические или имеющие высокую степень опасности. Специалисты Cloudflare отметили исключительно низкий уровень ложных срабатываний (false-positive rate), оказавшийся лучше показателей профессиональных тестировщиков.
  • Mozilla привлекла Mythos Preview к тестированию Firefox 150. ИИ помог выявить и закрыть 271 уязвимость. Для сравнения, при тестировании Firefox 148 с использованием модели Claude 3.5 Opus 4.6 удалось обнаружить всего 25 аналогичных ошибок. Таким образом, эффективность оборонительного аудита выросла более чем в 10 раз.
  • Аудит открытого ПО: Anthropic просканировала более 1000 проектов с открытым исходным кодом. Mythos Preview спрогнозировала наличие 23 019 уязвимостей, из которых 6202 были оценены как критические. В ходе ручной проверки выборки из 1752 находок подтвердилась точность ИИ: 90,6% (1587 случаев) оказались реальными багами (true positives), а 62,4% (1094 случая) были признаны экспертами высокоопасными или критическими угрозами. В общей сложности проект идет к подтверждению почти 3900 критических уязвимостей в опенсорсных репозиториях.

Взлом «легаси» и примеры из практики: От WolfSSL до древних багов

Уникальность Claude Mythos Preview заключается в её способности находить сложнейшие логические ошибки в коде, которые десятилетиями оставались незамеченными. В ходе аудитов модель легко выявила уязвимости в операционных системах FreeBSD и OpenBSD, некоторым из которых исполнилось 17 и 27 лет соответственно. До появления Mythos человечество не располагало инструментами, способными на столь глубокий ретроспективный анализ архитектуры ПО.

Один из ярких примеров практической работы модели связан с библиотекой WolfSSL. Claude Mythos Preview самостоятельно обнаружила критическую уязвимость CVE-2026-5194. Действуя в режиме автономного агента, модель сконструировала полноценный рабочий эксплойт (exploit) — код, демонстрирующий возможность атаки. Уязвимость позволяла злоумышленникам подделывать SSL-сертификаты безопасности, что открывало возможность создания фальшивых сайтов банков или почтовых провайдеров для кражи данных. В целях безопасности подробные механики создания эксплойта не разглашаются публично, однако сам факт того, что ИИ способен в одиночку проводить столь сложные цепочки атак, заставил Anthropic жестко ограничить доступ к системе.

Переворот бутылочного горлышка: Что делать защитникам?

Развитие систем класса Claude Mythos Preview полностью переворачивает традиционные представления о кибербезопасности. До сих пор главным дефицитным ресурсом и бутылочным горлышком (bottleneck) в ИБ был поиск уязвимостей — zero-day баги ценились высоко, а их обнаружение требовало месяцев кропотливого труда. Теперь этот барьер сломан: ИИ способен генерировать критические находки тысячами в секунду.

Бутылочное горлышко сместилось. Новым дефицитным ресурсом стала человеческая способность верифицировать, ответственно раскрывать (coordinated disclosure) и своевременно исправлять (patching) найденные ошибки. Статистика проекта Glasswing отражает этот дисбаланс: из тысяч обнаруженных ИИ критических багов в открытом ПО на момент майского отчета официально раскрыто разработчикам только 530 уязвимостей высокой степени важности. Ещё 827 подтвержденных находок только готовятся к передаче авторам программ. При этом исправить удалось всего 75 ошибок, а общедоступные бюллетени безопасности (advisories) выпущены лишь для 65 случаев. В среднем исправление одного сложного критического бага, найденного Mythos, занимает у команды разработчиков около двух недель работы.

Для бизнеса это несет важный практический урок. Пока инструменты уровня Claude Mythos Preview доступны только в закрытых лабораториях и крупным корпорациям, у компаний есть короткое окно возможностей для перестройки своих процессов разработки. Защитникам ИТ-инфраструктуры необходимо предпринять следующие действия:

  1. Радикально ускорить внутренние регламенты Coordinated Vulnerability Disclosure (CVD — процесс скоординированного раскрытия уязвимостей), сократив время от получения сигнала о баге до выпуска исправления.
  2. Максимально автоматизировать конвейеры тестирования и сборки патчей (patching pipelines), чтобы исправления могли выкатываться на рабочие серверы за часы, а не недели.
  3. Навести жесткий порядок в учете зависимостей и библиотек (SBOM — Software Bill of Materials), зная происхождение каждого компонента своей системы, чтобы оперативно реагировать на ИИ-сканирования стороннего софта.

Эра, когда безопасность держалась на скрытности кода и редкости хакерских находок, подошла к концу. В мире ИИ-агентов выживут только те системы, которые умеют обновляться быстрее, чем искусственный интеллект находит новые уязвимости.