Прошло меньше трёх недель с момента, как Anthropic открыла ограниченный доступ к своей новой модели Claude Mythos Preview, — а мировая индустрия кибербезопасности уже работает в режиме перегрузки. Скорость, с которой модель выявляет программные уязвимости, оказалась выше, чем способность компаний эти уязвимости устранять.
Доступ к Mythos был предоставлен в рамках инициативы Anthropic под названием Project Glasswing – примерно дюжине крупных партнёров, включая Amazon, Apple, Google, Nvidia, JPMorgan Chase и CrowdStrike, а также ещё около 40 организациям, занимающимся критически важной программной инфраструктурой.
Результаты не заставили себя ждать. В апрельском обновлении Microsoft закрыла сразу 167 уязвимостей. Ведущий инженер компании Rapid7 Адам Барнетт назвал это «новым рекордом» и прямо указал на связь с объявлением о Project Glasswing, сделанным неделей ранее. Mozilla сообщила, что в релиз Firefox 150 вошли исправления 271 уязвимости, найденной с помощью Mythos.
По данным Anthropic, за семь недель тестирования модель обнаружила более 2000 ранее неизвестных уязвимостей – в том числе во всех основных операционных системах и браузерах. Некоторые из них существовали десятилетиями.
22 апреля Microsoft объявила об интеграции Mythos в свой Security Development Lifecycle – жизненный цикл разработки защищённого программного обеспечения. Модель будет работать совместно с открытым бенчмарком CTI-REALM для выявления уязвимостей на ранних этапах.
От Вашингтона до Мумбаи
Обеспокоенность вышла за пределы технологической отрасли. 7 апреля министр финансов США Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл провели встречу с руководителями банков, призвав их использовать Mythos для проверки собственных систем. Goldman Sachs, Citigroup и Bank of America уже приступили к внутреннему тестированию модели.
Схожая картина наблюдается и в других странах. Министр финансов Индии Нирмала Ситхараман собрала совещание с главами банков, представителями Резервного банка Индии и технологическими чиновниками для оценки рисков. Европейский центральный банк в тихую начал запрашивать у банков информацию об уровне их защиты. Генеральный директор Deutsche Bank заявил журналистам, что «все пытаются получить доступ к Mythos».
Организации, участвующие в Project Glasswing рассказали: для защиты больниц, банков и объектов инфраструктуры от угроз, которые выявила модель, необходимы совместные усилия государственного и частного секторов.
Оружие или щит
Возможности Mythos – палка о двух концах. Компания Palo Alto Networks предупредила: подобные технологии неизбежно выйдут за пределы американских компаний со встроенными средствами защиты. Это значит, что хакеры получат инструмент для создания «автономных агентов для кибератак, с которыми отрасль ещё не сталкивалась».
По данным Fortune, ИИ уже обнаруживает уязвимости значительно быстрее, чем компании успевают их устранять. Один из экспертов по кибербезопасности сформулировал ситуацию прямо:
«Защитники оказались в гонке, к которой они пока не готовы».
Anthropic пообещала выделить до $100 млн в виде кредитов на использование модели и ещё $4 млн в качестве прямых пожертвований организациям, занимающимся безопасностью открытого программного обеспечения. Широкий доступ к Mythos компания открывать не планирует – до тех пор, пока не будут внедрены новые средства защиты.
