Anthropic заявила, що її AI-модель Claude Mythos допомогла виявити більше 10 тисяч вразливостей високого та критичного рівня в популярному програмному забезпеченні по всьому світу. Частину проблем уже підтвердили як реальні, а сотні з них можуть становити серйозну загрозу для безпеки систем.
Проект Glasswing – це оборонна ініціатива, запущена компанією зі штучного інтелекту (ШІ) для захисту критично важливої глобальної програмної інфраструктури. Вона надає невеликій групі з приблизно 50 партнерів ексклюзивний ранній доступ до Claude Mythos Preview, передової моделі з можливостями автономного виявлення вразливостей у широко використовуваному програмному забезпеченні, перш ніж зловмисники зможуть їх використати.
З цих вразливостей 6202 були класифіковані як вади високого або критичного рівня, що впливають на понад 1000 проектів з відкритим кодом. Подальший аналіз цих кандидатів на вразливості виявив, що 1726 є дійсно позитивними. Цілих 1094 вади оцінюються як такі, що мають високий або критичний рівень ризику.
Однією з виявлених слабких місць є критичний недолік у WolfSSL ( CVE-2026-5194, оцінка CVSS: 9.1), який може дозволити зловмиснику підробити сертифікати та замаскуватися під легітимний сервіс. Загалом ці зусилля призвели до 97 виправлень недоліків та 88 попереджень.
«Відносна легкість пошуку вразливостей порівняно зі складністю їх виправлення становить серйозний виклик для кібербезпеки», – визнає Anthropic. «Успішне подолання цього виклику зробить наше програмне забезпечення набагато безпечнішим, ніж раніше».
Ця подія відбувається на тлі зростання кількості виправлень, що сталися на тлі зростання кількості виявлених вразливостей за допомогою штучного інтелекту, що зумовлене різким зростанням кількості виявлених вразливостей за допомогою штучного інтелекту. Microsoft зазначає, що кількість нових патчів, які вона планує випускати щомісяця, «продовжуватиме зростати протягом деякого часу».
Автономна наступальна платформа безпеки XBOW описала Mythos Preview як «значний прогрес», який «суттєво кращий за попередні моделі у пошуку кандидатів на вразливості» та «вмілий в аналізі вихідного коду з урахуванням безпеки». Нещодавні аналізи також показали, що модель чудово перетворює вразливості на наскрізні ланцюги атак.
Anthropic додала, що корисність Mythos Preview виходить за рамки пошуку недоліків безпеки. В одному випадку банк-партнер Glasswing, як повідомляється, використав модель штучного інтелекту для виявлення та запобігання шахрайському банківському переказу на суму 1,5 мільйона доларів після того, як невідомий зловмисник зламав обліковий запис електронної пошти клієнта та здійснив фальшиві телефонні дзвінки.
З огляду на те, що моделі з подібними можливостями до Mythos можуть стати широко доступними найближчим часом, Anthropic закликає розробників програмного забезпечення скоротити цикли оновлення та якомога швидше зробити виправлення безпеки доступними. Варто зазначити, що Oracle нещодавно перейшла на щомісячний цикл оновлення для вирішення критичних проблем безпеки.
«Захисникам мережі слід скоротити терміни тестування та розгортання патчів», – сказав Anthropic. «Це включає такі кроки, як посилення конфігурацій мереж за замовчуванням, забезпечення багатофакторної автентифікації та ведення вичерпних журналів для виявлення та реагування».
Компанія зі штучним інтелектом також заявила, що запустила Програму кіберперевірки, яка дозволяє фахівцям з безпеки використовувати її моделі без обмежень для законних цілей, таких як дослідження вразливостей, тестування на проникнення та червоні команди. Це схоже на Daybreak від OpenAI , який також дозволяє захисникам використовувати GPT-5.5-Cyber для спеціалізованих робочих процесів.
Такі моделі, як Mythos Preview та GPT-5.5-Cyber, ще не були опубліковані через побоювання, що наразі не існує належних гарантій для запобігання їхньому зловживанню у великих масштабах.
«Glasswing допомагає найважливішим системно важливим кіберзахисникам отримати асиметричну перевагу», – зазначається у повідомленні. «Однак існує нагальна потреба, щоб якомога більше організацій зміцнили свій кіберзахист. Ми сподіваємося, що наші загальнодоступні моделі, а також нові інструменти, ресурси та дослідження, які ми надаємо для їх супроводу, допоможуть цим організаціям покращити свою кібербезпеку».
