Партнеры проекта Glasswing теперь могут делиться результатами Mythos за пределами программы.

      Партнеры проекта Glasswing теперь могут передавать результаты уязвимостей другим командам безопасности, отраслевым организациям, регуляторам, поддерживающим открытый код и прессе в рамках норм ответственного раскрытия информации. Пул защитников стал шире.

      Anthropic сообщила в понедельник, что пересматривает свою предыдущую политику раскрытия информации по Mythos, не выпущенной модели ИИ, сосредоточенной на кибербезопасности, развернутой в рамках программы контролируемого доступа проекта Glasswing.

      Пересмотр позволит партнерам, использующим Mythos, делиться информацией о киберугрозах с другими сторонами, которые могут быть подвержены тем же уязвимостям, вместо того чтобы удерживать результаты внутри оригинальной партнерской организации.

      Список сторон, с которыми партнеры теперь могут делиться информацией, в опубликованном тексте намеренно широк: команды безопасности в других компаниях, отраслевые организации, регуляторы и государственные учреждения, поддерживающие открытый код, СМИ и общественность, все подвержены нормам ответственного раскрытия информации.

      Предыдущая позиция Anthropic была значительно более строгой, с результатами, удерживаемыми внутри партнерской программы и передаваемыми вверх в саму Anthropic, а не наружу в более широкое сообщество защитников.

      Этот сдвиг важен из-за того, что Mythos обнаруживает. По собственным раскрытиям Anthropic, модель выявила тысячи уязвимостей нулевого дня в основных операционных системах и браузерах в ходе внутреннего тестирования и продемонстрировала способность разрабатывать работающие эксплойты против этих недостатков с первой попытки в более чем 83% случаев.

      Список партнеров проекта Glasswing включает Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco и JPMorgan, группу, достаточно большую, чтобы результаты, циркулирующие внутри нее, сами по себе были значительным подмножеством современной атакующей поверхности предприятия.

      Изменение также происходит на фоне более широкого регуляторного контекста, в котором движется Anthropic. Компания готовится проинформировать Финансовый стабильный совет о том, что Mythos обнаружил в инфраструктуре финансовых услуг, по запросу губернатора Банка Англии Эндрю Бейли.

      ASIC, Федеральная резервная система, Банк Англии, Европейский центральный банк, Министерство финансов США и несколько азиатских регуляторов входят в состав координированной группы мониторинга.

      Ослабление политики раскрытия информации соответствует тому, к чему регуляторы на этих направлениях настаивали в частном порядке: результаты уязвимостей не должны удерживаться в рамках партнерской программы, которая исключает большую часть сообщества финансового надзора.

      Существует параллельный операционный трек, который стоит отметить. Пентагон, по словам высшего технологического чиновника Министерства обороны на прошлой неделе, использует Mythos для поиска и устранения уязвимостей программного обеспечения в правительстве США, одновременно стремясь завершить переход от самой Anthropic, в рамках того, что стало сложной позицией администрации Трампа по отношению к компании.

      Британские банки получили собственный брифинг по Mythos в начале этого месяца; новые правила обмена партнерами позволяют этим брифингам течь вниз таким образом, который предыдущая структура предотвращала.

      Технические и политические механизмы ответственного раскрытия являются ограничивающим фактором. Пересмотренная политика Anthropic не отказывается, согласно опубликованному тексту, от требования, чтобы обмен информацией вниз координировался в рамках стандартных норм ответственного раскрытия, которые включают разумные окна для исправления и ограничения на детали, подлежащие вооружению.

      Что изменение не решает, так это структурная асимметрия, на которую критики настаивали в течение двух месяцев: что 40-50 организаций внутри проекта Glasswing получают защитнический взгляд на Mythos до остальной части глобальной экосистемы предприятий, и что асимметрия теперь расширяется через правила обмена партнерами, а не сжимается через более широкий прямой доступ.

      Формулировка Anthropic контролируемой программы доступа последовательно была такой, что она откалибрована для того, чтобы дать защитникам фору перед неизбежным использованием сопоставимых возможностей противником.

      Ослабленные правила обмена являются самой конкретной операционной эволюцией этой формулировки с тех пор, как Mythos был впервые анонсирован в апреле.