Claude Mythos AI: новый этап в кибербезопасности и автоматизация атак

Компания Anthropic на этой неделе представила свою новую модель Claude Mythos AI, и заявления вокруг неё звучат довольно громко. По словам разработчиков, модель способна самостоятельно находить уязвимости практически в любой операционной системе, браузере или программном продукте, а затем автономно создавать рабочие эксплойты. Если это правда хотя бы наполовину, речь идёт о серьёзном сдвиге в том, как устроена кибербезопасность.

Что умеет Claude Mythos AI и почему это важно

Anthropic пока не выпускает модель в открытый доступ. Вместо этого Claude Mythos AI передана нескольким десяткам организаций, включая Microsoft, Apple, Google и Linux Foundation, в рамках консорциума под названием Project Glasswing. Идея в том, чтобы дать защитникам фору: пусть сначала крупные компании найдут слабые места в своих системах, прежде чем подобные возможности станут массово доступны.

Что конкретно выделяет эту модель? Специалисты указывают на способность выстраивать так называемые exploit chains, то есть цепочки уязвимостей, которые можно эксплуатировать последовательно для глубокого проникновения в систему. Раньше для такой работы требовались команды высококвалифицированных исследователей, способных удерживать в голове массу контекстной информации. Теперь порог входа снижается радикально.

Как сказал инженер по безопасности Нильс Провос: модель не меняет суть проблемы, но меняет уровень навыков, необходимый для обнаружения и эксплуатации уязвимостей. А это, пожалуй, даже опаснее.

Скепсис и реальность

Критики: не всё так драматично

Часть экспертного сообщества относится к заявлениям Anthropic с долей иронии. Существующие ИИ-агенты уже помогают находить и эксплуатировать уязвимости быстрее и дешевле, чем раньше. Кто-то видит в громких заявлениях маркетинговый ход: Anthropic выгодно позиционировать свою модель как уникальную и загадочную. Консультант по безопасности Дави Оттенхаймер сравнил ситуацию с вестерном, где проповедник пугает концом света, а потом уезжает с деньгами.

Сторонники: угроза реальна

Алекс Зенла, технический директор компании Edera, признаётся, что обычно скептически настроена к подобным анонсам, но в данном случае считает угрозу настоящей. Она сравнивает ситуацию с бесконечным количеством обезьян за пишущими машинками: рано или поздно они напишут Шекспира. Модели вроде Claude Mythos AI ускоряют темп, с которым атакующие смогут группировать уязвимости в работающие цепочки.

Реакция на уровне государств

Масштаб обсуждения вышел далеко за пределы технологических компаний. По данным Bloomberg, министр финансов США Скотт Бессент и глава ФРС Джером Пауэлл провели встречу с лидерами финансового сектора, чтобы обсудить потенциальное влияние моделей такого класса на кибербезопасность. Это уже не просто разговоры в узком кругу разработчиков.

Возможность для пересмотра подходов

Бывший директор CISA Джен Истерли написала, что десятилетиями индустрия защищала, детектировала и реагировала на уязвимости, которых не должно было существовать изначально. Project Glasswing, по её мнению, может подтолкнуть к тому, чтобы строить технологии, безопасные с самого начала, а не бесконечно латать дыры.

Для компаний, которые используют ИИ в своих процессах, это ещё один повод задуматься об автоматизации не только маркетинга или контента, но и мониторинга безопасности. Мы в Фабио Де Лука разрабатываем ИИ-решения и автоматизации, и интеграция инструментов от Anthropic Claude в рабочие процессы наших клиентов уже давно стала частью практики. Подробнее о возможностях можно узнать на странице решений для бизнеса с ИИ.

Ситуация с Claude Mythos AI не изменит всё за одну ночь. Но она отчётливо показывает направление: атаки становятся машинного масштаба, и защита должна быть такой же. Кто адаптируется первым, тот получит преимущество.