Claude Mythos Preview в рамках Project Glasswing обнаружил больше уязвимостей за 30 дней, чем тысячи специалистов за годы. Это революция в защите - но одновременно и новая угроза, к которой мир не готов.
Anthropic раскрыла первые результаты Project Glasswing - закрытой инициативы по кибербезопасности с участием более 50 крупнейших технологических компаний, включая Microsoft, Apple, Google и Cloudflare. За первый месяц работы модель Claude Mythos Preview автономно обнаружила более 10 000 уязвимостей высокой и критической степени опасности в ключевых программных системах. Параллельно Anthropic запустила Claude Security в публичной бета-версии для корпоративных клиентов на базе модели Opus 4.7 - этот инструмент уже помог устранить более 2 100 корпоративных уязвимостей.
Цифры впечатляют не только объёмом, но и качеством. Из 23 019 первоначальных находок внешние компании по безопасности проверили 1 900 - и подтвердили 1 726 из них как реальные уязвимости. Процент ложных срабатываний - менее 10%, что по словам Cloudflare превосходит показатели человеческих специалистов по тестированию безопасности.
Cloudflare в рамках проекта обнаружил 2 000 ошибок, из которых 400 высокой или критической степени опасности. Mozilla использовала Mythos Preview для выявления и устранения 271 уязвимости в браузере Firefox 150 - в десять раз больше, чем при предыдущем тестировании с Claude Opus 4.6. Институт безопасности ИИ Великобритании подтвердил, что Mythos Preview стал первой моделью, полностью решившей его многоэтапные симуляции кибератак. Среди конкретных находок - критическая уязвимость CVE-2026-5194 в криптографической библиотеке wolfSSL. Модель не только обнаружила её, но и самостоятельно создала работающий эксплойт, позволяющий подделывать сертификаты безопасности - что потенциально открывает путь к имитации банковских и почтовых доменов.
Именно способность автономно создавать работающие эксплойты стала причиной, по которой Anthropic не выпускает Mythos в открытый доступ. Компания предоставила доступ к модели только участникам консорциума для защитных целей. Логика очевидна: инструмент, способный за месяц найти 10 000 уязвимостей и написать к ним рабочие эксплойты, в руках злоумышленников представляет беспрецедентную угрозу.
Здесь и кроется самый важный и тревожный вывод проекта. Из 1 596 подтверждённых уязвимостей, которые Anthropic передала разработчикам программного обеспечения, исправлено пока только 97. Опубликовано лишь 88 официальных предупреждений безопасности. Речь идёт не о злом умысле разработчиков - а о системной проблеме. Большинство открытых проектов поддерживаются волонтёрами в свободное время. Получить разом сотни подтверждённых критических уязвимостей - это катастрофическая перегрузка для команд, привыкших получать их по одной-две в месяц.
Экономические и регуляторные последствия
Традиционная модель координированного раскрытия уязвимостей (стандартное 90-дневное окно между обнаружением и публикацией) строилась в расчёте на то, что поиск уязвимостей - дорогостоящий и медленный процесс. Mythos-класс моделей обнуляет эту предпосылку: стоимость и время нахождения уязвимостей нулевого дня стремятся к нулю.
Это означает, что окно между обнаружением уязвимости и появлением эксплойта у злоумышленников резко сокращается. Организации больше не могут рассчитывать на то, что у них есть три месяца после обнаружения проблемы для её исправления - особенно если аналогичные инструменты появятся у атакующих сторон. Для корпоративного мира это означает необходимость пересмотра всей архитектуры киберзащиты. Anthropic рекомендует переходить от модели «нашли - починили» к многоуровневой защите: строгие конфигурации по умолчанию, обязательная многофакторная аутентификация и поведенческая аналитика для раннего выявления взломов. Для регуляторов это новый класс вопросов: как управлять технологиями, которые одновременно являются самым мощным инструментом защиты и потенциально самым опасным оружием в истории кибербезопасности.
Anthropic рассматривает возможность выпуска Mythos-класс моделей в будущем - но без конкретных сроков. Cisco открыла исходный код инструмента Foundry Security Spec для помощи глобальным защитникам в построении систем ИИ-оценки безопасности.