Мифология Claude от Anthropic обнаружила 10,000 критических уязвимостей за один месяц. Патчи не успевают.

      TL;DRПроект Glasswing компании Anthropic обнаружил более 10,000 критических уязвимостей в 1,000 открытых проектах за месяц. Исправлено только 97.

      Anthropic сообщила в пятницу, что проект Glasswing, ее ограниченная инициатива в области кибербезопасности, выявил более 10,000 кандидатов на уязвимости высокой или критической степени серьезности в некоторых из самых системно важных программных обеспечений в мире с момента запуска программы месяц назад. Из них 1,726 были подтверждены как истинные положительные. 1,094 подтверждены как уязвимости высокой или критической степени серьезности. Исправлено только 97.

      Разница между этими цифрами и есть история. Claude Mythos Preview от Anthropic, передовая модель с специализированными возможностями для поиска уязвимостей в исходном коде, может выявлять недостатки с такой скоростью, которую экосистема открытого кода не может усвоить. 6,202 кандидата на уязвимости высокой или критической степени серьезности затрагивают более 1,000 открытых проектов. Выпущено восемьдесят восемь уведомлений. Скорость обнаружения на порядок быстрее, чем скорость устранения.

      «Относительная легкость нахождения уязвимостей по сравнению с трудностью их исправления представляет собой серьезную проблему для кибербезопасности», — признала Anthropic. Компания призывает разработчиков программного обеспечения сократить циклы исправления и как можно быстрее предоставлять исправления безопасности. Oracle уже перешла от квартальных к ежемесячным выпускам исправлений, чтобы справиться с ускорением. Microsoft предупредила, что количество ежемесячных исправлений, которые она ожидает выпустить, «продолжит увеличиваться в течение некоторого времени».

      💜 технологий ЕСПоследние новости из технологической сферы ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!Наиболее заметной находкой на данный момент является критическая уязвимость в WolfSSL (CVE-2026-5194, оценка CVSS 9.1), широко используемой встроенной библиотеке TLS, которая может позволить злоумышленнику подделать сертификаты и выдать себя за легитимную службу. WolfSSL используется в IoT-устройствах, автомобильных системах и промышленных управляющих средах, где уязвимость подделки сертификатов имеет последствия, выходящие за рамки обычной веб-безопасности.

      Glasswing работает через ограниченную партнерскую модель. Примерно 50 организаций, описанных Anthropic как наиболее системно важные киберзащитники, имеют доступ к Claude Mythos Preview. Модель не была выпущена для широкой публики. XBOW, автономная платформа для наступательной безопасности, описала Mythos Preview как «значительный прогресс», который «существенно лучше предыдущих моделей в поиске кандидатов на уязвимости» и «умел в анализе исходного кода с точки зрения безопасности». Анализ Cloudflare показал, что модель превосходно справляется с превращением отдельных уязвимостей в цепочки атак «от конца до конца», что полезно для защитников, создающих модели угроз, и опасно в неправильных руках.

      Защитные приложения выходят за рамки обнаружения уязвимостей. В одном случае партнерский банк Glasswing использовал Claude Mythos для обнаружения и предотвращения мошеннического перевода в 1.5 миллиона долларов после того, как злоумышленник получил доступ к электронной почте клиента и сделал поддельные телефонные звонки. Модель выявила мошенническую схему до выполнения перевода. Этот случай иллюстрирует аргумент Anthropic о том, что передовые ИИ-модели могут предоставить асимметричные преимущества защитникам, но только если доступ ограничен организациями с достаточной зрелостью для их ответственного использования.

      Сроки совпадают с более широким ускорением в раскрытии уязвимостей, связанных с ИИ. Уязвимости Claw Chain от Cyera в OpenClaw, раскрытые ранее в этом месяце, продемонстрировали, как злоумышленники могут использовать привилегии собственного песочницы ИИ-агента. Аудит Koi Security ClawHub выявил 341 вредоносную запись среди 2,857 доступных навыков ИИ-агентов. Шаблон остается неизменным: ИИ одновременно создает новые поверхности атак и предоставляет более мощные инструменты для поиска недостатков в существующих. Вопрос в том, какая сторона уравнения движется быстрее.

      Anthropic запустила Программу Кибер-Верификации, которая позволяет проверенным специалистам по безопасности использовать Claude без ограничений для законных целей, включая исследование уязвимостей, тестирование на проникновение и красные команды. OpenAI представила параллельную программу под названием Daybreak, которая предоставляет аналогичный доступ к GPT-5.5-Cyber. Ни Mythos Preview, ни GPT-5.5-Cyber не были выпущены для широкой публики из-за опасений, что адекватные меры предосторожности для предотвращения масштабного злоупотребления еще не существуют.

      Конкурентная динамика между Anthropic и OpenAI в области кибербезопасности усиливается. Обе компании позиционируют свои передовые модели как необходимую инфраструктуру для национальной и корпоративной киберзащиты, одновременно ограничивая доступ, чтобы предотвратить использование тех же возможностей в наступательных целях. Двойное назначение технологии создает политическую проблему, которую ни одна из компаний не решила полностью: если модели с возможностями уровня Mythos станут широко доступными, как сама Anthropic признает, это вероятно в ближайшем будущем, текущая модель ограничения доступа для 50 доверенных партнеров не будет работать.

      Публично доступные модели Claude от Anthropic уже являются одними из самых способных помощников по программированию на рынке. Разрыв между тем, что может сделать Mythos, и тем, что может сделать публичный Claude, сужается с каждым выпуском. Anthropic призывает организации подготовиться к миру, в котором эти возможности будут широко доступны, укрепляя сетевые конфигурации, внедряя многофакторную аутентификацию и поддерживая полные журналы для обнаружения и реагирования.

      Десять тысяч кандидатов на уязвимости за один месяц от 50 партнеров, использующих одну модель. Программная экосистема теперь имеет инструмент, который может находить недостатки быстрее, чем разработчики могут их исправить. Это и обещание, и проблема. Anthropic называет Glasswing асимметричным преимуществом для защитников. Это так. Но асимметричные преимущества, как правило, временные, и время на это уже идет.