Обмежена модель ШІ від Anthropic зробила за тижні те, чого людські дослідники безпеки не змогли досягти протягом десятиліть. Проект Glasswing, коаліція компанії з кібербезпеки, спільно виявила понад 10 000 вразливостей програмного забезпечення високого та критичного рівнів, включаючи тисячі нульових днів, які роками залишалися непоміченими в широко використовуваних системах.
Серед виявлень: вразливість у OpenBSD віком 27 років і помилка у FFmpeg віком 16 років. Обидві вже вижили всі попередні цикли ручного аналізу коду та автоматизованого тестування.
Що таке Project Glasswing
Anthropic запустила Project Glasswing 7 квітня 2026 року, побудовану навколо її незапущеної передової моделі під назвою Claude Mythos Preview. Основна ідея проста: спрямувати надзвичайно потужний ШІ на критичну програмну інфраструктуру і дозволити йому шукати безпекові недоліки, які люди постійно пропускають.
Claude Mythos настільки добре виявляє та експлуатує вразливості автономно, що Anthropic вирішила не випускати його загальнодоступно. Замість цього вони створили коаліцію технологічних та інфраструктурних компаній, які отримують виключний доступ до моделі строго для оборонної безпеки.
Більше 40 організацій зараз беруть участь у цій ініціативі. Anthropic зарезервувала до 100 мільйонів доларів США у вигляді кредитів на використання моделей для підтримки цього напрямку, а також близько 4 мільйонів доларів США — на розробку відкритого коду для підвищення безпеки.
Оновлення, випущене приблизно 22–23 травня 2026 року, — це момент, коли цифри стають захоплюючими. Партнери спільно повідомили про понад 10 000 вразливостей високого та критичного рівня серйозності, тисячі з яких були класифіковані як нульові дні, тобто раніше були невідомі розробникам програмного забезпечення та ширшій спільноті безпеки.
Вузьке місце у виправленні
Знаходження вразливостей — це одне. Їх усунення — зовсім інша справа.
З тисяч підтверджених виявлень високого рівня серйозності до цього моменту було застосовано менше 100 патчів. Штучний інтелект може виявляти вразливості зі швидкістю, яка значно перевищує здатність галузі їх усунення.
Відкриття нульових днів особливо вражають. 27-річна вразливість у OpenBSD означає, що протягом майже трьох десятиліть кожна перевірка безпеки, кожна кампанія фаззингу, кожна пара експертних очей, що перевіряли цей код, пропустили те, що виявив модель штучного інтелекту. Помилка FFmpeg віком 16 років розповідає подібну історію. Це не марні проекти. OpenBSD відомий своїм акцентом на безпеці, а FFmpeg вбудований у безліч медіа-застосунків по всьому світу.
Що це означає для інвесторів
100 мільйонів доларів у вигляді кредитів на використання, які Anthropic зарезервувала для цієї ініціативи, свідчить про те, наскільки серйозно великі лабораторії ШІ ставляться до двоїстого характеру своїх моделей. Обмежуючи Claude Mythos Preview відібраним консорціумом замість широкого розповсюдження, Anthropic може продемонструвати відповідальне розгортання та встановити глибокі зв’язки з командами безпеки підприємств.