В апреле 2026 года Anthropic запустила Project Glasswing – инициативу по поиску критических уязвимостей в программном обеспечении с помощью ещё не выпущенной в открытый доступ модели Claude Mythos Preview. Спустя месяц компания опубликовала первый промежуточный отчёт.
Итоги оказались впечатляющими и тревожными одновременно. Примерно 50 компаний-партнёров совместно с Anthropic обнаружили с помощью Mythos Preview более десяти тысяч уязвимостей высокого и критического уровня в наиболее системно важном ПО мира. Cloudflare, один из участников программы, нашла 2000 ошибок в своих критических системах, из которых 400 – высокой или критической степени серьёзности; при этом процент ложных срабатываний оказался ниже, чем у специалистов-людей.
Что умеет Mythos Preview
Модель не просто ищет уязвимости по шаблону – она рассуждает о коде как опытный исследователь безопасности: прослеживает потоки данных, строит цепочки эксплойтов и способна самостоятельно разрабатывать атаки.
Британский Институт безопасности ИИ (AISI) сообщил, что Mythos Preview стала первой моделью, решившей оба их киберполигона от начала до конца. Mozilla при тестировании Mythos Preview обнаружила и устранила 271 уязвимость в Firefox 150 – в десять раз больше, чем было найдено в Firefox 148 с помощью предыдущей модели Claude Opus 4.6.
Открытый код под угрозой
Отдельный фронт работы – открытое программное обеспечение. За несколько месяцев Mythos Preview просканировала более 1000 открытых проектов и обнаружила, по её собственной оценке, 6202 уязвимости высокой или критической степени из 23 019 в общей сложности. Независимые исследовательские компании проверили 1752 из них: 90,6% подтвердились как реальные уязвимости (то есть не ложные срабатывания), а 62,4% получили статус высокой или критической степени серьёзности.
Один из наиболее показательных случаев – уязвимость в библиотеке wolfSSL, используемой миллиардами устройств по всему миру. Mythos Preview построила эксплойт, позволяющий злоумышленнику подделать SSL-сертификат и выдать вредоносный сайт за легитимный ресурс банка или почтового провайдера. Уязвимость получила идентификатор CVE-2026-5194 с оценкой CVSS 9.3 (критическая) и была исправлена в версии wolfSSL 5.9.1, выпущенной 8 апреля 2026 года.
Главная проблема – не поиск, а починка
Парадокс ситуации в том, что узким местом стал не поиск уязвимостей, а их исправление. Если раньше безопасность тормозила нехватка специалистов по обнаружению проблем, то теперь – нехватка человеческих ресурсов для верификации, раскрытия и патчинга. Ряд мейнтейнеров открытых проектов прямо попросили Anthropic замедлить темп раскрытия, поскольку поток новых отчётов уже превышает их возможности реагирования. В среднем исправление критической уязвимости, найденной Mythos Preview, занимает две недели.
Из 530 уязвимостей высокой и критической степени, о которых Anthropic уже уведомила разработчиков, к моменту публикации отчёта были закрыты 75; публичные уведомления получили 65 из них. Ещё 827 подтверждённых критических уязвимостей ждут своей очереди на раскрытие.
Инструменты для защитников
Anthropic не ограничилась закрытой программой с крупными партнёрами. Компания запустила Claude Security в публичную бету для корпоративных клиентов: инструмент на базе Claude Opus 4.7 сканирует репозитории, находит уязвимости и предлагает готовые патчи на проверку командам. За три недели с момента запуска с его помощью было закрыто более 2100 уязвимостей. Кроме того, Anthropic открыла «Программу киберверификации» для легитимных специалистов по безопасности – пентестеров, исследователей и red team, – чтобы снять ограничения, обычно блокирующие работу с этими сценариями.
Cisco в рамках партнёрства также опубликовала в открытом доступе свою Foundry Security Spec, позволяющую другим организациям строить аналогичные системы оценки безопасности.
Почему Mythos всё ещё не вышел публично
Anthropic прямо заявляет: у неё пока нет достаточно надёжных защитных механизмов, чтобы предотвратить злоупотребление моделью такого уровня. Именно поэтому Mythos Preview предоставляется только отобранным партнёрам по цене $25 за миллион входящих токенов и $125 за миллион исходящих. По оценке Anthropic, аналогичные по мощности модели в ближайшее время появятся и у других компаний – а значит, окно для «защитного преимущества» закрывается.
Следующие шаги – расширение партнёрской программы с участием правительств США и союзников, а после разработки более надёжных защитных механизмов – полноценный публичный релиз модели Mythos-класса.
