Anthropic опубликовала первый отчет о работе Project Glasswing — закрытой программы поиска уязвимостей с моделью Claude Mythos Preview. За месяц около 50 партнеров нашли более 10 000 багов высокой и критической степени в критическом софте, еще 6202 — в open-source-проектах. Но в том же отчете компания признает парадокс: часть мейнтейнеров open-source попросила Anthropic замедлить процесс — экосистема не успевает их чинить.
Логика простая. Несколько мейнтейнеров прямо сказали, что уперлись в потолок по ресурсам, и попросили дать больше времени на патчи. Средний срок исправления high/critical-бага — две недели. Поверх этого open-source сообщество захлебывается в потоке низкокачественных AI-багрепортов от энтузиастов в духе «GPT нашел уязвимость в моей библиотеке». Теперь к этому потоку добавились более мощные репорты от Mythos.
Скепсис к самому Mythos в сообществе тоже есть. Две недели назад Дэниел Стенберг, лид и основной разработчик curl, опубликовал разбор работы модели на их коде: из пяти «подтвержденных уязвимостей» после проверки осталась одна, низкого уровня важности. Стенберг сформулировал прямо: «хайп вокруг этой модели в основном маркетинговый».
Свежие цифры от Anthropic частично отвечают на эту критику. Из 1752 находок в open-source, которые независимые security-фирмы успели проверить, 90,6% оказались реальными уязвимостями. High/critical среди них — только 62,4%: модель не выдумывает баги, но временами завышает их опасность. Из 530 раскрытых high/critical-уязвимостей пока запатчено 75. Конкретный пример находки — CVE-2026-5194 в библиотеке wolfSSL, на которой работает HTTPS у миллиардов устройств. Модель построила эксплойт, позволявший подделать сертификат любого сайта — например, поднять копию сайта банка с настоящим замочком в браузере. Уязвимость уже закрыта.
Сам Mythos в публичный доступ по-прежнему не выходит — Anthropic в отчете говорит прямо: ни одна компания, включая ее саму, не разработала достаточно сильных протоколов безопасности, чтобы модель, оказавшись в плохих руках, не могла причинить вред. Но рано или поздно похожую модель сделают конкуренты — и без сравнимых ограничений. К этому моменту инфраструктура поиска базгов должна быть готова к нагрузке.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1038458/