Ограниченная ИИ-модель Anthropic за несколько недель сделала то, чего человеческие исследователи безопасности не смогли достичь за десятилетия. Проект Glasswing, коалиция компании в области кибербезопасности, совместно выявила более 10 000 уязвимостей программного обеспечения высокой и критической степени серьезности, включая тысячи нулевых дней, которые годами оставались незамеченными в широко используемых системах.
Среди обнаруженных уязвимостей: 27-летняя уязвимость в OpenBSD и 16-летний баг в FFmpeg. Обе уязвимости выдержали все предыдущие циклы ручного анализа кода и автоматизированного тестирования.
Что такое Project Glasswing
Anthropic запустила Project Glasswing 7 апреля 2026 года, основанную на еще не выпущенной передовой модели под названием Claude Mythos Preview. Основная идея проста: направить чрезвычайно мощную ИИ-систему на критическую программную инфраструктуру и позволить ей искать уязвимости в безопасности, которые люди продолжают упускать.
Claude Mythos настолько хорошо справляется с обнаружением и эксплуатацией уязвимостей автономно, что Anthropic решила не выпускать его в общем доступе. Вместо этого они сформировали коалицию технологических и инфраструктурных компаний, получающих эксклюзивный доступ к модели строго для оборонительных задач в области безопасности.
Более 40 организаций теперь участвуют в инициативе. Anthropic обязалась предоставить до 100 миллионов долларов в виде кредитов на использование моделей для поддержки этого проекта, а также около 4 миллионов долларов выделено на улучшение безопасности с открытым исходным кодом.
Обновление, выпущенное примерно 22–23 мая 2026 года, стало поворотным моментом — цифры стали поразительными. Партнеры совокупно сообщили о более чем 10 000 уязвимостей высокой и критической степени опасности, тысячи из которых были классифицированы как нулевые дни, то есть ранее были неизвестны разработчикам программного обеспечения и широкому сообществу кибербезопасности.
Узкое место в устранении
Обнаружение уязвимостей — это одно. Их устранение — совершенно другая проблема.
Из тысяч проверенных выявленных уязвимостей высокой критичности до сих пор развернуто менее 100 подтвержденных исправлений. ИИ может обнаруживать уязвимости со скоростью, значительно превышающей возможности отрасли по их устранению.
Открытия нулевого дня особенно показательны. Ошибка в OpenBSD возрастом 27 лет означает, что в течение почти трех десятилетий каждая проверка безопасности, каждая кампания по фаззингу, каждая пара экспертных глаз, проверявших этот код, пропустили то, что обнаружила модель ИИ. Ошибка в FFmpeg возрастом 16 лет рассказывает ту же историю. Это не малознакомые проекты. OpenBSD известен своим акцентом на безопасности, а FFmpeg встроен в бесчисленное количество медиаприложений по всему миру.
Что это значит для инвесторов
$100 миллионов в виде кредитов на использование, предоставленные Anthropic для этой инициативы, свидетельствуют о том, насколько серьезно крупные лаборатории ИИ относятся к двойному назначению своих моделей. Ограничивая доступ к Claude Mythos Preview проверенной коалицией, а не выпуская его широко, Anthropic демонстрирует ответственное внедрение и укрепляет тесные отношения с командами корпоративной безопасности.