Anthropic отчиталась о проекте Glasswing: нейросеть нашла 10 тысяч уязвимостей

Anthropic подвела первые итоги проекта Glasswing. За месяц тестирования нейросеть Claude Mythos Preview выявила более 10 тысяч серьёзных и критических уязвимостей в ключевом мировом программном обеспечении. Скорость поиска выросла на порядок, из-за чего главным ограничением стала нехватка разработчиков для выпуска исправлений.

Проект Glasswing стартовал месяц назад с участием 50 партнёров компании. Цель инициативы - найти и закрыть бреши в критической инфраструктуре до того, как мощные генеративные модели окажутся в руках злоумышленников.

Главная проблема сместилась от поиска к исправлениям

Скорость работы Mythos Preview выявила слабое место в цикле кибербезопасности. Раньше прогресс упирался в то, как быстро исследователи находили новые баги. Теперь индустрия столкнулась с переизбытком уязвимостей, которые нужно проверять, описывать и закрывать.

Партнёры проекта сообщают о десятикратном росте числа найденных ошибок:

Cloudflare выявила 2000 багов (400 из которых - высокого или критического уровня) в своих основных системах. Доля ложных срабатываний, по оценке инженеров платформы, оказалась ниже, чем у тестировщиков-людей.
Mozilla с помощью новой нейросети нашла и закрыла 271 уязвимость в браузере Firefox 150. Для сравнения, в версии Firefox 148 предыдущая модель Claude Opus 4.6 нашла почти в десять раз меньше ошибок.
Институт безопасности ИИ Великобритании подтвердил, что продукт Anthropic стал первой моделью, прошедшей симуляции многоэтапных кибератак от начала до конца.

В банковском секторе нейросеть также применяется для защиты в реальном времени. В одном из банков-партнёров система предотвратила мошеннический перевод на 1,5 млн долларов после того, как взломщик скомпрометировал почту клиента и сымитировал телефонные звонки.

Перегрузка разработчиков открытого кода

Помимо проприетарного софта, команда Anthropic просканировала более 1000 проектов с открытым исходным кодом. Mythos Preview отметила 6202 уязвимости как критические или серьёзные. Независимый аудит подтвердил, что 62,4% из проверенных находок действительно несут высокую угрозу.

Среди обнаруженных проблем - критическая уязвимость (CVE-2026-5194) в криптографической библиотеке wolfSSL, которая используется в миллиардах устройств. Система сгенерировала эксплойт, позволяющий злоумышленнику подделывать сертификаты и создавать неотличимые для пользователя копии сайтов банков или почтовых сервисов. Брешь уже закрыта.

При этом общий процесс устранения ошибок идёт медленно. Мейнтейнеры открытых проектов физически не справляются с потоком сложных отчётов. Некоторые разработчики прямо попросили Anthropic замедлить публикацию данных, так как в среднем на выпуск одного исправления уходит две недели. Из 530 переданных авторам критических уязвимостей на момент публикации отчёта закрыты только 75.

Бизнес-инструменты вместо публичного релиза

Anthropic пока отказывается выпускать модели класса Mythos в открытый доступ. По заявлению представителей платформы, сейчас ни у кого на рынке нет защитных механизмов, способных предотвратить использование таких систем для массированного взлома.

Вместо этого компания запустила сервис Claude Security в стадии публичной беты для корпоративных клиентов. Инструмент работает на базе предыдущего поколения - Claude Opus 4.7 и помогает бизнесу искать бреши в собственном коде. За три недели компании успели закрыть более 2100 уязвимостей. Корпоративный сегмент справляется с объёмами быстрее опенсорс-сообщества, так как штатные команды чинят собственный продукт, а не полагаются на добровольцев.

Разрыв между мгновенным поиском брешей искусственным интеллектом и долгим ручным исправлением создаёт опасное окно для атак. Если модель уровня Mythos попадёт в открытый доступ до того, как инфраструктура научится быстро развёртывать патчи, хакеры получат непропорциональное преимущество над защитниками.

anthropic claude кибербезопасность