Последний Claude Mythos нашел дыру возрастом 27 лет в OpenBSD

Anthropic анонсировала Project Glasswing — инициативу по защите критической инфраструктуры с помощью новой непубличной модели Claude Mythos Preview. За некоторое количество недель работы модель нашла тысячи ранее неизвестных уязвимостей, в том числе в каждой крупной операционной системе и каждом крупном браузере. В партнерство вошли AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks, а еще более 40 организаций получили доступ к модели для сканирования своих систем.

Mythos Preview — это ИИ нового поколения, который Anthropic решила пока не выпускать публично в связи с киберспособностей. На бенчмарках модель заметно обгоняет Opus 4.6: SWE-bench Verified — 93,9% против 80,8%, Terminal-Bench 2.0 — 82% против 65,4%, CyberGym — 83,1% против 66,6%. Компания объясняет, что сначала отладит защитные механизмы на следующем Opus, а Mythos-класс планирует выпускать только после этого.

В качестве примеров Anthropic приводит три находки, которые модель обнаружила автономно, без подсказок человека. В OpenBSD — системе с репутацией одной из самых защищенных в мире — нашлась уязвимость возрастом 27 лет: атакующий мог удаленно "уронить" любую машину простым подключением. В библиотеке FFmpeg модель обнаружила 16-летний дефект в строке кода, по которой автоматические тесты проходили пять миллионов раз и ничего не замечали. В ядре Linux Mythos Preview самостоятельно склеила несколько уязвимостей в цепочку, позволяющую обычному пользователю получить полный контроль над машиной. Все три дыры уже запатчены.

Anthropic выделяет до $100 млн кредитов на использование модели участниками программы и ещё $4 млн прямыми пожертвованиями организациям по безопасности open source — $2,5 млн уйдёт в Alpha-Omega и OpenSSF через Linux Foundation, $1,5 млн — в Apache Software Foundation. После окончания превью-периода Mythos Preview будет доступен партнерам по цене $25 за миллион входных и $125 за миллион выходных токенов через Claude api, Amazon Bedrock, Google Vertex AI и Microsoft Foundry.

Название проекта отсылает к бабочке-стекляннице Greta oto: ее прозрачные крылья служат метафорой как для скрытых в коде уязвимостей, так и для прозрачности, которую Anthropic хочет видеть в подходе к кибербезопасности. На протяжении 90 дней организация обещает опубликовать открытый отчет — что удалось найти, что пропатчить и какие практики стоит менять индустрии.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.