SavePearlHarbor

Как строить ИБ, когда у атакующего может быть AI уровня Mythos

от автора

admin

Anthropic выпустила модель, которая за несколько недель нашла тысячи неизвестных уязвимостей во всех основных ОС и браузерах. ФРС и Минфин США экстренно собрали руководителей крупнейших банков. Разбираемся, что это значит для архитектуры безопасности в реальной организации – и что CISO стоит пересмотреть уже сейчас.

Три события апреля 2026 года

В начале апреля произошло три события, которые стоит рассматривать вместе. По отдельности каждое из них – просто громкая новость. Вместе – маркер перехода к другой модели угроз.

Событие первое. 7 апреля Anthropic представила Claude Mythos Preview – фронтирную LLM (Large Language Model – большая языковая модель), которая автономно обнаружила тысячи критических уязвимостей нулевого дня во всех основных операционных системах и браузерах. Среди находок – 27-летний баг в OpenBSD и 16-летняя уязвимость в FFmpeg. Но модель не просто обнаруживает уязвимости – она самостоятельно выстраивает цепочки из нескольких багов и создаёт рабочие эксплойты. В одном из примеров Mythos Preview скомбинировала четыре уязвимости в браузере, чтобы выйти из песочницы рендерера и обойти защиту ОС.

Чтобы оценить масштаб: предыдущая модель Anthropic, Claude Opus 4.6, успешно эксплуатировала уязвимости в JavaScript-движке Firefox менее чем в 1% случаев. Mythos Preview – в 72%. Но даже Opus, например, за 4 часа смог написать два рабочих эксплойта к уязвимости CVE-2026-4747 в ядре FreeBSD.

Событие второе. Anthropic запустила Project Glasswing – закрытый консорциум, куда вошли AWS, Google, Microsoft, Apple, CrowdStrike, Palo Alto Networks, Cisco, NVIDIA, JPMorgan Chase, Linux Foundation и ещё более 40 организаций. Задача – применить возможности Mythos для защиты критической инфраструктуры, пока модели с аналогичными способностями не стали доступны злоумышленникам. Anthropic выделяет до $100 млн в кредитах на использование модели участниками и $4 млн – на поддержку безопасности open-source проектов. Публичного доступа к Mythos нет. Конкретного срока выхода – тоже (и скорее всего в таком виде модель не выйдет из-за слишком высокой стоимости работы, а постепенно способности Opus 5.0, 6.0 догонят ее).

Событие третье. 8 апреля министр финансов США Скотт Бессент и председатель ФРС Джером Пауэлл экстренно созвали руководителей системообразующих банков – Citigroup, Morgan Stanley, Bank of America, Goldman Sachs, Wells Fargo – для совещания об угрозах, связанных с Mythos. Как сообщает Bloomberg, участие Пауэлла сигнализировало, что речь идёт не о политике, а о системном риске для финансовой стабильности.
Банк Англии (BoE) включил проблему Anthropic Mythos в повестку ближайших заседаний Cross Market Operational Resilience Group (CMORG) и AI Taskforce — где присутствуют крупные банки и участники рынка.

Вывод: когда ради одной языковой модели регуляторы экстренно собирают банкиров, а Пентагон вызывает CEO AI-компании – это серьезно.

Что меняется в модели угроз

Традиционная модель угроз строилась на допущении: чтобы найти серьёзную уязвимость в зрелом продукте, нужен высококвалифицированный специалист, который потратит на это недели или месяцы. Это создавало естественное ограничение для атакующей стороны – «дефицит и стоимость экспертизы» были нашими негласными союзниками. Новые поколения LLM (а Mythos может быть только одним из них) меняет правила.

Скорость и масштаб обнаружения

Mythos Preview за несколько недель нашла уязвимости, которые не замечали десятилетиями – и это в коде, который годами проходил аудиты и fuzzing-тестирование. 27-летний баг в OpenBSD – операционной системе, которая считается эталоном безопасного кода, – обнаружен за $20 000 на токены.

Что это означает на практике: окно между появлением уязвимости и её эксплуатацией сокращается. Патч-менеджмент в ритме «раз в месяц» перестаёт быть достаточным. Мы привыкли к плановому обслуживанию. Новая реальность требует другого темпа.

Асимметрия доступа

Сегодня Mythos доступна только привилегированным партнёрам Anthropic. Но история показывает: мощные инструменты рано или поздно воспроизводятся. Google DeepMind уже развивает проект Big Sleep с аналогичными задачами. Другие AI-лаборатории наращивают возможности в области автономного кодинга и reasoning – а именно эти навыки, по признанию самой Anthropic, стали причиной возникновения хакерских способностей Mythos. Никто специально не обучал модель ломать системы – это побочный эффект того, что она стала лучше программировать и рассуждать.

OpenAI уже анонсировала финализацию новой модели с продвинутыми кибервозможностями с закрытой моделью распространения подобной Mythos.

CISO должен проектировать защиту, исходя из допущения: через 12–18 месяцев аналогичные возможности будут доступны не только «правильной стороне». А значит проектировать новую архитектуру защиты нужно уже сейчас.

0-day как норма, а не исключение

Если AI-модель систематически выявляет 0-day в промышленных масштабах, перестаёт работать логика «мы используем зрелый, протестированный продукт». 99% обнаруженных Mythos уязвимостей на момент анонса не были запатчены. Любой стек потенциально уязвим, и уязвимость может быть найдена быстрее, чем вендор успеет её закрыть.

Для наглядности – что нашла Mythos Preview за первые недели работы:

Таргет

Что обнаружено

Возраст бага

OpenBSD (TCP SACK)

Удалённый DoS – крэш хоста по TCP

27 лет

FFmpeg

Memory corruption при декодировании видеофрейма

16 лет

Linux kernel

Цепочка из нескольких уязвимостей → полный root-доступ

Не раскрыт

Браузеры (все основные)

Цепочка из 4 уязвимостей → выход из песочницы

Не раскрыт

VM monitor

Guest-to-host memory corruption

Не раскрыт

Криптобиблиотеки (TLS, AES-GCM, SSH)

Ошибки аутентификации

Не раскрыт

Источники: Anthropic, Help Net Security, The Hacker News

Суть изменения: раньше поиск уязвимостей ограничивался количеством квалифицированных людей. Теперь он ограничивается только вычислительными ресурсами.

Что это значит для архитектуры защиты

Подход «построить периметр и всё защитить» в этой модели угроз перестаёт быть реалистичным. Логика смещается к трём принципам: предполагать компрометацию, минимизировать радиус поражения, ускорить обнаружение и реакцию.

Сегментация и изоляция – приоритет №1

Если злоумышленник с AI-инструментом найдёт вход – а при новой экономике поиска уязвимостей это вопрос времени – критичный вопрос: что он сможет сделать после. Горизонтальное перемещение по сети должно быть максимально затруднено.

Архитектура Zero Trust и микросегментация становятся не теоретической лучшей практикой, а практической необходимостью:

  • Сетевые политики строятся на принципе минимальных привилегий не только на уровне пользователя, но и на уровне сети. Каждый сегмент – отдельный периметр.

  • Критичные системы изолированы так, чтобы компрометация одного сегмента не давала доступ к соседним. Базы данных, контроллеры домена, системы управления инфраструктурой – всё это должно находиться за отдельными барьерами.

  • Каждый запрос аутентифицируется и авторизуется, независимо от того, откуда он приходит – изнутри или снаружи. Доверие к «внутреннему» трафику – пережиток прошлой модели угроз.

Сетевые решения класса NGFW (Next-Generation Firewall, такие как Ideco NGFW Novum) в этой модели угроз получают дополнительную роль: они не только фильтруют трафик, но и создают архитектурный барьер, который ограничивает радиус поражения при компрометации. Без микросегментации на уровне сети Zero Trust остаётся красивой концепцией на слайдах.

Практический тест для CISO: проведите внутренний pentest с фокусом на горизонтальное перемещение. Дайте атакующему точку входа в один сегмент и посмотрите, как далеко он сможет пройти. Если ответ «далеко» – это первое, что нужно менять.

Патч-менеджмент: нужна другая скорость

Традиционный цикл патчинга – раз в месяц, с ручной расстановкой приоритетов – не успевает за темпом, в котором AI находит уязвимости. Anthropic прямо рекомендует организациям ужесточать окна патчинга: цикл N-day эксплуатации существенно сократился.

Вот что конкретно стоит пересмотреть:

  • От планового патчинга к непрерывному мониторингу. Критические уязвимости закрываются за дни, а не за месяц. Внеплановый патчинг должен стать нормой, а не исключением. Процесс, при котором критический CVE ждёт следующего окна обслуживания, – это роскошь, которую больше нельзя себе позволить.

  • Legacy-компоненты. Для систем, которые больше не получают обновлений, изоляция перестаёт быть рекомендацией – она становится обязательной. При новой скорости обнаружения уязвимостей legacy без сегментации – это открытая дверь, о которой знает каждый AI-агент с доступом к исходникам.

  • Автоматизация приоритизации. Ручной разбор CVE не масштабируется. Нужны инструменты, которые автоматически оценивают критичность в контексте вашей конкретной инфраструктуры, а не абстрактного CVSS-балла.

Безопасная разработка: SDL придётся ускорять

Если AI умеет находить уязвимости в существующем коде – она же умеет помогать их не допускать при написании. Это создаёт парадокс: те компании, которые быстрее встраивают AI-ассистентов в разработку, получают преимущество с обеих сторон – и в скорости выявления проблем, и в предотвращении их внесения.

Но есть и обратная сторона. Попробуйте написать код с помощью Claude и посмотрите, сколько багов – или даже новых 0-day – он при этом создаст. Вайбкодинг увеличивает количество кода и одновременно количество потенциальных уязвимостей тоже растёт в разы.

Для CISO и CTO – совместная повестка:

  • SAST/DAST в CI/CD, работающие на AI – базовая гигиена, а не опция.

  • SCA (Software Composition Analysis) должен работать непрерывно, а не только на этапе code review. Зависимости – одна из популярных точек входа.

  • Политика использования AI-инструментов разработчиками. Кто использует, какие именно инструменты, с какими данными – и какие ограничения действуют. Это часть управления поверхностью атаки.

Threat Intelligence: доступ к «правильной стороне»

Для российских компаний в современных условиях приходится неприятно констататировать: прямого доступа к новому поколению AI-driven threat intelligence у нас нет и, скорее всего, не будет. Project Glasswing (эксклюзивный закрытый доступ к Mythos) – американский консорциум с американскими участниками, усугубляющий «цифровое неравенство». Даже если отбросить регуляторные запреты, санкционные ограничения на оплату, сложности с VPN и геоблокировки делают доступ к западным AI-платформам ненадёжным в принципе – нельзя строить ИБ-стратегию на сервисе, который может отключиться в любой момент.

Но это не значит, что российский CISO остаётся без инструментов. Отечественный рынок threat intelligence существует и развивается.

Чего не хватает – так это AI-моделей уровня Mythos для проактивного поиска уязвимостей. Отечественных LLM с такими возможностями пока нет (и не будет), как и доступных китайских. Но это не повод опускать руки – это повод удвоить ставку на архитектурную устойчивость и максимально использовать то, что есть.

Теперь о глобальном контексте. Project Glasswing – это попытка создать привилегированный пул организаций, которые первыми получают информацию об обнаруженных уязвимостях и могут закрыть их до публичного раскрытия. Де-факто это новый уровень threat intelligence: раннее предупреждение на основе AI-поиска, а не человеческих исследований. Anthropic обещает в течение 90 дней опубликовать результаты работы – найденные и закрытые уязвимости, практические рекомендации. Эти публикации стоит отслеживать вне зависимости от геополитической ситуации: патчи для open-source проектов, обнаруженных Glasswing, будут доступны всем.

На чём строить систему защиты

Важный переход: система защиты больше не может опираться только на то, что «мы закрыли все известные уязвимости». При AI-ускоренном поиске «известные» уязвимости устаревают слишком быстро.

Фундамент должен быть другим:

  1. Новый важный критерий выбора вендоров средств защиты информации – наличие у продукта дорожной карты развития AI-функциональности и AI-стратегией. Без этого инструмент может быть бесполезен для защиты от угроз завтрашнего дня. Если у злоумышленников радикально повышается уровень инструментов – у вас должны быть такие же мощные средства защиты. Вендоры с релизным циклом 1-2 года – точно не подходят.

  2. Архитектурная устойчивость. Правильное разделение, изоляция, минимизация радиуса поражения. Даже если атакующий прошёл периметр – он не должен добраться до критичных данных. DMZ – не «общая зона», а индивидуальная «клетка».

  3. Скорость обнаружения и реакции. Не «защититься от всего», а заметить аномалию и среагировать быстрее, чем злоумышленник достигнет цели. AI-SOC, SIEM, NDR (Network Detection and Response) – должны быть в приоритете развития.

  4. Контроль цепочки поставок. В мире, где AI-модели встраиваются в IDE, CI/CD и devops-инструменты, поверхность атаки расширяется через сам инструментарий разработки. SBOM (Software Bill of Materials) и непрерывный мониторинг зависимостей – обязательная часть защиты.

  5. Проактивное тестирование. Не ждать, пока кто-то найдёт уязвимость, а самим применять AI-инструменты для опережающего поиска проблем. Anthropic рекомендует организациям начинать интеграцию доступных фронтирных моделей в vulnerability management уже сейчас.

Что делать прямо сейчас

Конкретные шаги для CISO на горизонте 6–12 месяцев:

  1. Сформировать и утвердить дорожную карту внедрения AI в ИБ‑контур компании на 12–18 месяцев: от пилотов до боевого режима, где ИИ‑системы не только помогают анализировать события и находить уязвимости, но и автоматически принимают и исполняют решения по блокировке атак (по заранее согласованным плейбукам).

  2. Провести аудит сегментации. Насколько далеко может пройти злоумышленник, получив точку входа? Если горизонтальное перемещение между сегментами реально – это приоритет номер один. Закажите внутренний pentest с фокусом на lateral movement.

  3. Пересмотреть цикл патч-менеджмента. Есть ли возможность переходить на критические патчи в течение 24–72 часов, а не 30 дней? Для legacy-систем – зафиксировать план изоляции с конкретными сроками. Или избавиться от них.

  4. Встроить AI-assisted SAST/DAST в CI/CD. Текущие фронтирные модели уже достаточно зрелы, чтобы находить реальные проблемы. Это базовая гигиена разработки сейчас.

  5. Зафиксировать политику использования AI-инструментов. Кто из разработчиков и сотрудников использует AI-ассистенты, какие именно, с какими данными – и какие ограничения действуют. Совместно с ИТ лучше возглавить AI-революцию дав общие инструменты и правила, чем рисковать возникновением неконтролируемого shadow-AI.

  6. Мониторить программы раннего раскрытия. Glasswing, Big Sleep и аналоги будут публиковать результаты. Подписка на их «выхлоп» – часть threat intelligence.

Эра, когда поиск уязвимостей был ограничен числом квалифицированных специалистов, заканчивается. В новой реальности в безопасность зависит от того, насколько грамотно построена сеть, насколько быстро работает реакция и насколько мало злоумышленник может сделать, даже если он уже внутри.

Это и есть задача CISO на ближайшие месяцы. Сделать так, чтобы даже компрометация любого сервиса не стала катастрофой.

ссылка на оригинал статьи https://habr.com/ru/articles/1022646/