Mythos нашел 10 000 уязвимостей за месяц — open-source мейнтейнеры не успевают чинить

Anthropic опубликовала первый отчет о работе Project Glasswing — закрытой программы поиска уязвимостей с моделью Claude Mythos Preview. За месяц приблизительно 50 партнеров нашли более 10 000 багов высокой и критической степени в критическом софте, еще 6202 — в open-source-проектах. Но в том же отчете организация признает парадокс: часть мейнтейнеров open-source попросила Anthropic замедлить процесс — экосистема не успевает их чинить.

Логика простая. Некоторое количество мейнтейнеров прямо сказали, что уперлись в потолок по ресурсам, и попросили дать больше времени на патчи. Средний срок исправления high/critical-бага — две недели. Поверх этого open-source сообщество захлебывается в потоке низкокачественных AI-багрепортов от энтузиастов в духе "GPT нашел уязвимость в моей библиотеке". Теперь к этому потоку добавились более мощные репорты от Mythos.

Скепсис к самому Mythos в сообществе тоже есть. Две недели назад Дэниел Стенберг, лид и главный разработчик curl, опубликовал разбор работы модели на их коде: из пяти "подтвержденных уязвимостей" после проверки осталась одна, низкого уровня важности. Стенберг сформулировал прямо: "хайп вокруг этой модели главным образом маркетинговый".

Свежие цифры от Anthropic частично отвечают на эту критику. Из 1752 находок в open-source, которые независимые security-фирмы успели проверить, 90,6% оказались реальными уязвимостями. High/critical среди них — только 62,4 процентов: схема не выдумывает баги, но временами завышает их опасность. Из 530 раскрытых high/critical-уязвимостей пока запатчено 75. Конкретный пример находки — CVE-2026-5194 в библиотеке wolfSSL, на которой работает HTTPS у миллиардов устройств. Модель построила эксплойт, позволявший подделать сертификат любого сайта — в частности, поднять копию сайта банка с настоящим замочком в браузере. Уязвимость уже закрыта.

Сам Mythos в публичный доступ по-прежнему не выходит — Anthropic в отчете сообщает прямо: ни одна компания, включая ее саму, не разработала достаточно сильных протприблизительнов безопасности, чтобы схема, оказавшись в плохих руках, не могла причинить вред. Но рано или поздно похожую схема сделают конкуренты — и без сравнимых ограничений. К этому моменту инфраструктура поиска базгов должна быть готова к нагрузке.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.