Ключевой вывод заключается в том, что традиционное «окно N-day» — недели или месяцы, которые защитники отводили себе между выходом патча и появлением эксплойта — фактически перестало существовать .
Не менее важными оказались результаты другой серии тестов. Когда Mythos дали список из 14 уязвимостей ядра Windows, которые Microsoft ранее классифицировала как «маловероятные для эксплуатации» (unlikely to be exploited), модель успешно воспроизвела 13 из них, а для одной даже разработала цепочку до полного контроля над системой .
Это означает, что категория «низкая эксплуатируемость», под которую Microsoft подводит от 80 до 90% даже критически опасных багов, больше не соответствует реальности. Набор уязвимостей, которые службам безопасности нужно считать срочными, вероятно, придется расширить примерно в 5 раз . Старая система рейтингов создавалась в мире, где на разработку эксплойта у эксперта уходили недели; теперь она сильно недооценивает угрозу от автономного ИИ, способного справиться с той же работой за минуты.
Одна из самых шокирующих цифр в отчетах Anthropic — это стоимость атаки. Отдельная успешная попытка поиска и эксплуатации уязвимости (zero-day или N-day) обходилась менее чем в $50 в пересчете на вычислительные ресурсы. Полная кампания по сканированию кодовой базы OpenBSD (тысячи запусков) стоила около $20 000 и выявила несколько критических уязвимостей, включая баг 27-летней давности в сетевом стеке TCP . Разработка корневого эксплойта для ядра Linux обошлась менее чем в $2 000 за каждый
. Весь бюджет кампании красной команды Anthropic уложился в сумму значительно меньше $20 000 за полное сканирование крупных кодовых баз
.
Это не бюджеты уровня спецслужб целых государств. Это суммы, доступные отдельному разработчику или небольшой команде. Барьер входа в сложный поиск уязвимостей и создание эксплойтов рухнул именно в тот момент, когда способности ИИ резко взлетели вверх .
Публичное раскрытие Claude Mythos Preview состоялось 7-8 апреля 2026 года. Компания Anthropic представила его как передовую модель, способную автономно находить и эксплуатировать уязвимости нулевого дня во всех основных операционных системах и веб-браузерах. ИИ нашел тысячи багов высокой степени опасности, включая ошибки, пережившие десятилетия аудита экспертами .
Понимая колоссальный риск двойного назначения, Anthropic приняла беспрецедентное решение не выпускать Mythos в открытый доступ. Вместо этого она запустила Project Glasswing (проект «Стеклянное крыло») — контролируемую инициативу в области кибербезопасности. Первоначально к нему были допущены около 50 партнерских организаций, включая AWS, Apple, Cisco, Google, Microsoft, JPMorgan и Linux Foundation .
К июню 2026 года проект расширяется до примерно 150 организаций из более чем 15 стран. В него войдут государственные агентства по безопасности Австралии, Великобритании, ряда стран ЕС и Азии . Партнеры получают эксклюзивное 90-дневное окно на установку патчей до того, как информация об уязвимостях будет раскрыта публично
. К концу мая 2026 года с помощью Mythos было найдено более 10 000 уязвимостей высокой и критической степени опасности в системно значимом программном обеспечении
.
Одно только сотрудничество Mozilla с Anthropic привело к обнаружению и исправлению 271 уязвимости нулевого дня в браузере Firefox версии 150, что стало крупнейшим разовым обновлением безопасности за всю историю браузера .
Реакция индустрии: Компания Cisco присоединилась к первой волне партнеров Project Glasswing вместе с другими гигантами технологического рынка и кибербезопасности . Mozilla начала сотрудничество с Anthropic еще до полномасштабного запуска Mythos, и результат (271 пропатченный zero-day) доказал огромный оборонительный потенциал модели при ответственном использовании
.
Реакция администрации Трампа: Ответ властей США был хаотичным и противоречивым. В апреле 2026 года директор Национального управления кибербезопасности Шон Кэрнкросс начал межведомственные консультации, но сокращение финансирования CISA (Агентства по кибербезопасности и защите инфраструктуры) и внутренние политические баталии все усложнили .
Кульминация наступила 21 мая, когда президент Трамп лично отменил уже подготовленный указ, который обязывал бы ИИ-лаборатории предоставлять передовые модели на правительственную экспертизу за 90 дней до публичного релиза. Журналистам он заявил, что не хочет, чтобы что-либо замедляло технологическое лидерство Америки над Китаем .
Однако менее чем через две недели, 3 июня, Трамп подписал пересмотренный указ об инновациях в сфере ИИ и кибербезопасности. Он ввел добровольную 30-дневную систему проверки для новых моделей — более мягкий вариант, чем отвергнутый 90-дневный мандат, но все же признак того, что статус-кво не отвечает новым вызовам .
На этом фоне Министерство финансов США, Федеральная резервная система и Административно-бюджетное управление в экстренном порядке пытались получить доступ к Mythos. Это происходило несмотря на то, что ранее Трамп распорядился прекратить использование технологий Anthropic в федеральных органах. Министерство финансов организовало экстренные брифинги, осознав масштаб угрозы .
Реакция Конгресса: OpenAI и Anthropic провели закрытые брифинги для комитета по внутренней безопасности Палаты представителей, посвященные киберугрозам с применением ИИ. Это стало одними из первых в истории целевых брифингов для сотрудников Конгресса по данной теме .
Главный вывод однозначен: эпоха, когда выход патча давал защитникам несколько недель передышки, закончилась — по крайней мере, в противостоянии с противниками, имеющими доступ к передовому ИИ. Асимметрия поражает: в корпорациях на установку патчей по-прежнему уходят примерно 70 дней, а ИИ успевает превратить те же самые патчи в оружие менее чем за час.
Организации сегодня вынуждены пересматривать свои процессы: какие уязвимости считать критическими и требующими немедленного исправления, как расставлять приоритеты в установке патчей и способны ли их текущие регламенты управления уязвимостями выжить в мире, где создание эксплойтов стало дешевым, быстрым и полностью автоматизированным.