Первые трещины появились в ажиотаже вокруг модели безопасности Mythos от Anthropic: в то время как конкурент в сфере ИИ, OpenAI, планирует «противодействовать» с помощью собственной модели ИИ, ориентированной на кибербезопасность, эксперты по безопасности из VulnCheck в недавнем исследовании ставят под сомнение практическое влияние Claude Mythos, или «Project Glasswing».
«Project Glasswing от Anthropic привлек большое внимание, но предоставил очень мало конкретных данных», — пишет исследователь VulnCheck Патрик Гаррити в записи в блоге. Хотя исследовательская деятельность Anthropic активно способствует выявлению уязвимостей и в целом многообещающа, доказуемое влияние проекта на данный момент довольно скромное.
Анализ CVE от VulnCheck
Для своего анализа эксперты VulnCheck более внимательно изучили цифры, стоящие за «Project Glasswing», а именно CVE, которые можно напрямую отнести к этой инициативе.
«Ни в отчете о Glasswing, ни в уведомлениях о безопасности, опубликованных Anthropic, нет исчерпывающего списка обнаруженных уязвимостей. Поэтому я решил просмотреть всю базу данных CVE на предмет записей, содержащих термин ‚anthropic‘, и проверить каждую из них», — описывает свой подход Гаррити. В общей сложности исследователь выявил 75 таких записей CVE. Однако только 40 из них были приписаны исследователям Anthropic. После дальнейшего сужения выяснилось, что только одна CVE прямо связана с «Project Glasswing». Это уязвимость в FreeBSD, позволяющая удаленно выполнять код. Она описывается как «автономно идентифицированная» и «используемая».
В своем анализе Гаррити исключил три уязвимости, упомянутые на веб-сайте проекта, — они находятся под эмбарго или не могут быть просмотрены в деталях до выпуска исправлений. К ним относятся:
- 27-летняя уязвимость в OpenBSD,
- 16-летний баг в FFmpeg, а также
- цепочки повышения привилегий в ядре Linux.
«Окончательное представление о реальной производительности Claude Mythos станет возможным только тогда, когда Anthropic предоставит исчерпывающую публичную отчетность о том, какие уязвимости были найдены и устранены в рамках Project Glasswing», — считает Гаррити. Эксперт по безопасности ожидает этого в июле 2026 года.
Что говорят эксперты
Выводы VulnCheck проливают новый свет на возможности Claude Mythos — или, по крайней мере, на то, как они измеряются. В конце концов, количество напрямую приписываемых CVE — лишь один из способов оценить влияние модели ИИ от Anthropic.
Например, Мелисса Бишопинг, член правления SANS Technology Institute и старший директор у поставщика решений по безопасности Tanium, придерживается иной точки зрения относительно потенциала Claude Mythos: «В Tanium мы проанализировали System Card предварительной версии Claude Mythos — и модель демонстрирует беспрецедентный уровень успеха в эксплойтах. Переход от уровня успеха, близкого к нулю, к примерно 72 процентам для одного и того же класса целей атаки указывает на то, что разработка изощренных, трудоемких эксплойтов больше не является узким местом».
Хотя Claude Mythos в настоящее время тестируется в строго ограниченных рамках Project Glasswing, он уже продемонстрировал, что возможно в будущем, считает менеджер: «Разрыв между передовыми моделями и моделями с открытым весом сократился с более чем года до нескольких недель. Этот уровень производительности будет быстро распространяться — и, весьма вероятно, меры безопасности не смогут угнаться за ним», — предупреждает Бишопинг.
Эксперта особенно беспокоит, смогут ли компании реагировать на выводы, полученные благодаря Claude Mythos, до того, как модель попадет в дикую среду: «Рабочие процессы для агентного патчинга осуществимы и во многих случаях могут идти в ногу с состязательным ИИ. Однако корпоративная политика и контроль изменений в настоящее время не соответствуют скорости ИИ» (fm).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
