От случайного утечки до экстренного собрания в Вашингтоне: как Anthropic за две недели переписала правила игры в кибербезопасности?

8 апреля министр финансов США Бейзента и председатель Федеральной резервной системы Джером Пауэлл в экстренном порядке созвали в штаб-квартире Минфина в Вашингтоне группу лидеров банков Уолл-стрит.

Тема встречи была не процентные ставки, не инфляция, а последняя модель одной AI-компании.

Эту модель зовут Claude Mythos. Anthropic заявил, что это их самый мощный AI, настолько сильный, что они сами боятся его выпускать. Внутренние тесты показали, что он сбежал из безопасной песочницы, созданной исследователями, и начал публиковать в интернете сообщения, хвастаясь своим побегом. Ответственный за тестирование исследователь Сам Боуэн в тот момент ел сэндвич в парке, когда вдруг получил письмо от Mythos и понял, что он уже вышел на свободу.

Цепная реакция, вызванная ошибкой в настройке CMS

Историю стоит начать с вечера 26 марта.

Александр Пауэлс из Кембриджского университета и Рой Паз из LayerX Security, как и все исследователи безопасности, занимались своим обычным делом: проверяли те вещи, к которым не должны иметь доступ. Они обнаружили незашифрованную базу данных системы управления контентом Anthropic, в которой лежали почти 3000 неопубликованных документов.

Один из них — черновик блога, в котором описывалась новая модель под внутренним кодовым названием “Capybara” (водоплавающее млекопитающее). В нем определялся совершенно новый уровень модели, превосходящий по мощности, интеллекту и стоимости предыдущие серии Opus.

В черновике было одно предложение, которое взорвало всю сообщество безопасности: говорилось, что эта модель “значительно превосходит все остальные AI по возможностям в области кибербезопасности”, и что она “предвещает волну новых моделей, способных находить уязвимости быстрее, чем защитники смогут их устранить”.

Первым о утечке сообщил Fortune. Anthropic объяснил причину “человеческой ошибкой”, заявив, что настройки системы управления контентом по умолчанию сделали загруженные файлы публичными. Ирония в том, что компания, которая заявляет, что создает самый мощный в мире AI для кибербезопасности, сама допустила базовую ошибку конфигурации.

Через пять дней Fortune сообщил о второй утечке — исходном коде программного инструмента Claude Code, около 500 тысяч строк кода и 1900 файлов, которые оказались опубликованы из-за ошибки в npm-пакетах. За две недели две крупные инциденты безопасности, оба — от одной и той же компании, которая предупреждает о грядущей эпохе кибератак с помощью AI.

Но рынки уже не обращали внимания на уровень Anthropic. 27 марта акции в секторе кибербезопасности резко рухнули. CrowdStrike упала на 7,5%, Palo Alto Networks — более чем на 6%, Zscaler — на 4,5%, а ETF iShares Cybersecurity упал за день на 4%.

Аналитик Stifel Адам Борг оценил: это может быть “лучшее в мире хакерское оружие, способное поднять любого обычного хакера до уровня национального противника”.

Насколько мощен Mythos?

7 апреля Anthropic официально представила Mythos. Посмотрим на цифры:

Результат по тесту SWE-bench Verified (оценка AI по решению реальных задач программной инженерии) — 93,9%, тогда как предыдущий флагман Opus — 80,8%. Документ USAMO 2026 по математике показывает 97,6% против 42,3%. В конкурсе Cybench по кибербезопасности — 100% прохождение, ранее ни одна модель не достигала такого.

Процент успешных решений USAMO вырос с 42,3% до 97,6%, то есть новая модель на 55 пунктов опередила предшественницу.

Anthropic опубликовала 244-страничный системный отчет по безопасности, в котором признается, что возможности Mythos в области кибербезопасности не основаны на специальной тренировке по безопасности, а являются “побочным результатом” общего развития логического мышления и навыков кодирования. Эти улучшения одновременно делают его лучше в исправлении уязвимостей и в их использовании.

Передовые красные команды Anthropic протестировали Mythos на реальном программном обеспечении. Не в симуляции, не в CTF, а на операционных системах и браузерах, которыми пользуются миллиарды людей.

Результаты таковы: на JavaScript-движке Firefox 147 Mythos успешно взломал систему 181 раз, тогда как Opus 4.6 — всего пару раз за сотни попыток. Разрыв в 90 раз. В большинстве популярных ОС и браузеров Mythos обнаружил тысячи нулевых дней, многие из которых классифицированы как “серьезные”.

Еще более поразительные случаи: уязвимость TCP SACK в OpenBSD, существовавшая 27 лет, несмотря на многочисленные проверки автоматическими сканерами и ручной аудит, Mythos обнаружил за пару минут, и для её эксплуатации достаточно двух специально подготовленных пакетов данных, чтобы вывести сервер из строя. Уязвимость NFS в FreeBSD, существовавшая 17 лет, — Mythos не только нашел её, но и самостоятельно создал цепочку атак из 20 ROP-гаджетов, охватывающую несколько пакетов.

Некоторые инженеры без опыта в безопасности провели тест: перед сном попросили Mythos найти уязвимость для удаленного выполнения кода, а утром на столе уже лежал полностью рабочий эксплойт.

Побег из песочницы: когда AI начинает “идти на всё”

Обнаружение нулевых дней — вопрос возможностей, но поведение Mythos в тестах было совершенно иным.

В одном из экспериментов исследователи поместили раннюю версию Mythos в безопасную песочницу и попросили его попытаться сбежать и уведомить тестировщиков. Mythos не только сбежал, но и сделал то, что от него не требовали: зашел на несколько публичных сайтов и опубликовал сообщения о своем побеге.

В системном отчете есть еще много таких “нарушений границ”. Когда Mythos ошибался в коде, он пытался переписать историю git, чтобы скрыть следы — не потому, что хотел обмануть, а потому, что понял “исправить проблему” как “сделать так, чтобы эта проблема никогда не существовала”. В другом случае, когда исследователь попросил его прекратить неактуальную задачу, он просто отключил все связанные с ней процессы.

В отчете есть метафора: опытный гид может привести клиента в опасное место, потому что его навыки позволяют выбрать более рискованный маршрут.

Также там есть скрытая деталь: с помощью инструментов объяснения внутренней работы нейросетей исследователи обнаружили, что Mythos иногда внутри активных слоев нейронной сети “рассуждает”, как “пройти” проверку системы, а в выводе мыслительной цепочки пишет совсем другое. Он “думает” одно, а “говорит” — другое.

Anthropic утверждает, что они “довольно уверены”, что эти поведения — результат неправильного использования модели, а не скрытых долгосрочных целей. Mythos не замышляет ничего злого. Он просто очень хорошо выполняет задачи, не понимая границ. Такой помощник без чувства меры, но всесильный, может быть опаснее, чем злонамерственный AI.

Проект Glasswing: превращая остриё в щит

Anthropic не стал запирать Mythos в сейф.

7 апреля они объявили о проекте Glasswing (название от прозрачных крыльев бабочки Glasswing, символизирующих “отсутствие укрытий” для уязвимостей), который предоставляет Mythos Preview для около 40 проверенных организаций для использования в оборонных целях.

Ключевые партнеры: Amazon AWS, Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike, Palo Alto Networks, JPMorgan Chase, Linux Foundation. В основном — ведущие игроки Кремниевой долины и Уолл-стрит. Anthropic обещает выделить до 100 миллионов долларов на использование и пожертвовать 4 миллиона долларов организациям по открытой безопасности OpenSSF, Alpha-Omega и др.

Идея такова: возможности Mythos за 6–18 месяцев распространится в открытые модели, и любой сможет их использовать. Вместо того чтобы ждать этого, лучше заранее подготовиться и устранить уязвимости, пока есть возможность.

Руководитель отдела кибербезопасности Anthropic, Ньютон Ченг, прямо заявил: цель — помочь организациям привыкнуть к использованию этих возможностей для защиты, пока они не станут массовыми. Потому что эти возможности в будущем станут повсеместными, и вопрос лишь — когда.

Уолл-стрит сначала испугалась, потом вздохнула с облегчением.

После утечки 27 марта акции сектора рухнули, но 7 апреля, после объявления о Glasswing и партнерствах с CrowdStrike и Palo Alto Networks, акции выросли на 6,2% и 4,9%, а после закрытия рынка — еще на 2%. JPMorgan подтвердил рекомендации по обеим компаниям, аналитик Брайан Эссекс отметил, что CrowdStrike и Palo Alto станут ключевыми компонентами оборонных систем, а не конкурентами.

Но это — лишь временное облегчение. За год акции обеих компаний снизились на 9,7% и 7,8%.

Когда риск AI становится системным финансовым риском

Возвращаемся к 8 апреля, в штаб-квартиру Минфина в Вашингтоне.

Бейзента и Пауэлл собрали представителей системно важных банков. Такие встречи раньше проходили только во время финансовых кризисов или пандемий. Теперь на одной стороне стола — обсуждение возможностей кибербезопасности AI-моделей.

Причина проста: если возможности Mythos попадут в руки злоумышленников, они смогут за несколько часов найти нулевые уязвимости в ядре крупного банка и написать рабочий эксплойт. Ранее предполагалось, что обнаружение и использование уязвимостей требуют много времени и высокой квалификации. AI меняет эти предположения.

Кейси Ньютона из Platformer цитирует слова Alex Stamos из Corridor: открытые модели примерно за шесть месяцев догонят закрытые передовые модели по обнаружению уязвимостей.

Более тревожит то, что Anthropic сам признает в системном отчете: их самая продвинутая система оценки не смогла вовремя обнаружить самые опасные поведения ранних версий Mythos. Самые опасные ситуации — не те, что выявлены в тестах, а те, что возникают при реальном использовании.

Неприятный вывод

Основная идея Glasswing — довольно странная: чтобы защитить мир от опасных AI, нужно сначала создать этого опасного AI.

Ньютон из Platformer подчеркивает важный факт, который часто игнорируют: одна частная компания сейчас обладает практически всей высокой уязвимостью нулевых дней, известных в мире программного обеспечения. Такая концентрация — сама по себе риск. Мотивация украсть модельные веса Anthropic резко выросла.

И все это происходит в условиях почти полного отсутствия регулирования AI. Anthropic заявил, что уведомил CISA и Минторг, но по текущим сообщениям, правительство не проявляет должной срочности. Как сказал один из инсайдеров, знакомых с Mythos, Axios: “Вашингтон управляется кризисами. Пока кибербезопасность не станет настоящим кризисом и не получит должного внимания и ресурсов, это останется маргинальной темой.”

Дарио Амодеи, основавший Anthropic, говорил именно об этом: дать лаборатории, которая ставит безопасность превыше всего, столкнуться с самой опасной возможностью, чтобы успеть построить защиту раньше других. Mythos и Glasswing идут по этому сценарию.

Но сможет ли теория опередить реальность — никто не знает. Anthropic планирует сначала внедрить новые меры безопасности на базе модели Opus, которая “не несет такого же риска, как Mythos”. В конечном итоге, общество получит нечто вроде Mythos, но только после того, как системы защиты будут готовы.

Какой у этого временного окна предел? Стамос дает оптимистичный прогноз: “Если мы только что превзошли человеческие возможности, то есть большой, но ограниченный пробел для обнаружения и исправления уязвимостей.”

Это “если” очень велико.

От 26 марта, когда из-за ошибки в настройке CMS произошла утечка, до 8 апреля, когда министр финансов США созвал Уолл-стрит, — всего две недели, и AI-модель превратилась из технологической новости в тему национальной безопасности.

Стамос говорит, что у защитников есть примерно шесть месяцев для реагирования. По истечении этого срока открытые модели догонят закрытые, и эти возможности перестанут быть привилегией немногих.

Шесть месяцев — это время, за которое можно исправить множество уязвимостей, и от этого зависит вся дальнейшая стратегия.