Mythos нашел 10 000 уязвимостей за месяц — open-source мейнтейнеры не успевают чинить

2 мин
Mythos нашел 10 000 уязвимостей за месяц — open-source мейнтейнеры не успевают чинить

Anthropic опубликовала первый отчет о работе Project Glasswing — закрытой программы поиска уязвимостей с моделью Claude Mythos Preview. За месяц приблизительно 50 партнеров нашли более 10 000 багов высокой и критической степени в критическом софте, еще 6202 — в open-source-проектах. Но в том же отчете организация признает парадокс: часть мейнтейнеров open-source попросила Anthropic замедлить процесс — экосистема не успевает их чинить.

Логика простая. Некоторое количество мейнтейнеров прямо сказали, что уперлись в потолок по ресурсам, и попросили дать больше времени на патчи. Средний срок исправления high/critical-бага — две недели. Поверх этого open-source сообщество захлебывается в потоке низкокачественных AI-багрепортов от энтузиастов в духе "GPT нашел уязвимость в моей библиотеке". Теперь к этому потоку добавились более мощные репорты от Mythos.

Скепсис к самому Mythos в сообществе тоже есть. Две недели назад Дэниел Стенберг, лид и главный разработчик curl, опубликовал разбор работы модели на их коде: из пяти "подтвержденных уязвимостей" после проверки осталась одна, низкого уровня важности. Стенберг сформулировал прямо: "хайп вокруг этой модели главным образом маркетинговый".

Свежие цифры от Anthropic частично отвечают на эту критику. Из 1752 находок в open-source, которые независимые security-фирмы успели проверить, 90,6% оказались реальными уязвимостями. High/critical среди них — только 62,4 процентов: схема не выдумывает баги, но временами завышает их опасность. Из 530 раскрытых high/critical-уязвимостей пока запатчено 75. Конкретный пример находки — CVE-2026-5194 в библиотеке wolfSSL, на которой работает HTTPS у миллиардов устройств. Модель построила эксплойт, позволявший подделать сертификат любого сайта — в частности, поднять копию сайта банка с настоящим замочком в браузере. Уязвимость уже закрыта.

Сам Mythos в публичный доступ по-прежнему не выходит — Anthropic в отчете сообщает прямо: ни одна компания, включая ее саму, не разработала достаточно сильных протприблизительнов безопасности, чтобы схема, оказавшись в плохих руках, не могла причинить вред. Но рано или поздно похожую схема сделают конкуренты — и без сравнимых ограничений. К этому моменту инфраструктура поиска базгов должна быть готова к нагрузке.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.

Читают сейчас

Meta* выпустила нейросеть Muse Image — она думает, гуглит и пишет исходник перед генерацией картинки

1 час назад

Meta* выпустила нейросеть Muse Image — она думает, гуглит и пишет исходник перед генерацией картинки

Meta* представила Muse Image — первую модель генерации изображений от Meta Superintelligence Labs (компания Meta* признана экстремистской и запрещена в РФ). Это следующий крупный выпуск лаборатории по

Джон Ромеро публично поддержал разработчиков после массового увольнения в id Software

3 часа назад

Джон Ромеро публично поддержал разработчиков после массового увольнения в id Software

Один из основателей id Software Джон Ромеро поддержал разработчиков студии после масштабных сокращений. В июле 2026 года студия лишилась около половины своего штата. Читать далее

DJI выпустила Mic Mini 2S — беспроводную петличку с 32-битной записью и встроенной в передатчик памятью

3 часа назад

DJI выпустила Mic Mini 2S — беспроводную петличку с 32-битной записью и встроенной в передатчик памятью

DJI выпустила Mic Mini 2S — компактную беспроводную микрофонную систему для блогеров, видеооператоров и создателей контента. Главные отличия от обычной версии Mic Mini 2: 32-битная запись аудио, встро

Нобелевский лауреат по экономике предупредил, что ИИ не вернёт эпоху быстрого роста производительности

3 часа назад

Нобелевский лауреат по экономике предупредил, что ИИ не вернёт эпоху быстрого роста производительности

Лауреат Нобелевской премии по экономике 2010 года Кристофер Писсаридес объявил, что технологии ИИ не вернут западные экономики в эпоху стремительного роста производительности труда — и такие времена,

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»

4 часа назад

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»

Всем привет! Сколько раз, садясь за руль каршерингового Geely, вы задумывались о кибербезопасности ИТ-систем? Тем временем, транспортный бигтех строго регулируется 152-ФЗ о защите персональных данных,