Гонка ИИ в кибербезопасности: банки, регуляторы, Claude Mythos и Daybreak от OpenAI

Австралийский регулятор APRA (Australian Prudential Regulation Authority) также заявил, что модели уровня Claude Mythos могут дать атакующим возможности, к которым банковский сектор пока не готов . При этом регулятор допустил, что банкам может потребоваться контролируемый доступ к подобным системам — чтобы тестировать собственную защиту.

В результате регуляторы всё чаще требуют или рекомендуют:

• тесты на проникновение и red‑team‑упражнения с использованием ИИ
• более быстрое обнаружение и устранение уязвимостей
• жёсткий контроль стороннего программного обеспечения и поставщиков
• улучшенную отчётность о киберинцидентах

Главная цель — подготовить банки к угрозам, которые могут развиваться со скоростью машин, а не людей .

Чем опасна модель Claude Mythos

Компания Anthropic представила Claude Mythos Preview как продвинутую ИИ‑систему, сосредоточенную на задачах кибербезопасности. По сообщениям, модель продемонстрировала способность находить и эксплуатировать скрытые уязвимости в операционных системах и браузерах .

По словам Anthropic, система обнаружила «тысячи критических уязвимостей», включая проблемы в широко используемых программных платформах .

В одном из описанных случаев модель нашла уязвимость в операционной системе OpenBSD, которая оставалась незамеченной более двух десятилетий .

Ключевая проблема — скорость. ИИ способен автоматизировать почти всю цепочку кибератаки:

• анализ огромных кодовых баз
• поиск слабых мест
• генерацию эксплойтов
• объединение нескольких уязвимостей в одну атаку

Для банков это особенно опасно, поскольку многие из них до сих пор используют сложные и иногда десятилетиями накапливавшиеся IT‑системы. Такие инфраструктуры часто содержат уязвимости, которые современные ИИ‑инструменты могут обнаружить значительно быстрее людей .

Важно отметить: значительная часть информации о возможностях Mythos основана на журналистских публикациях и вторичных источниках, поэтому некоторые детали трудно независимо подтвердить. Тем не менее обсуждение модели уже привело к активному вниманию со стороны регуляторов .

Ответ защитников: платформа Daybreak от OpenAI

Параллельно технологические компании разрабатывают ИИ‑инструменты, предназначенные именно для защиты. Один из самых заметных примеров — Daybreak, новая инициатива OpenAI в области кибербезопасности.

Daybreak объединяет передовые модели OpenAI и агентную систему Codex Security, помогая командам безопасности анализировать код, находить уязвимости и автоматически генерировать проверенные исправления .

Главная идея — перенести киберзащиту на более ранние этапы разработки программного обеспечения, встроив проверку безопасности прямо в процесс разработки, а не реагируя уже после взломов.

Система поддерживает несколько ключевых задач:

• автоматическое обнаружение уязвимостей в коде
• моделирование угроз и анализ рисков
• генерацию и проверку исправлений
• проверку зависимостей и безопасности цепочки поставок

OpenAI также представила специализированные версии моделей для киберзащиты — например GPT‑5.5‑Cyber, а доступ к наиболее мощным инструментам ограничен и предназначен для проверенных исследователей и специалистов по безопасности .

По сообщениям о запуске платформы, одна из её целей — сократить время между обнаружением уязвимости и выпуском исправления, что становится критически важным по мере ускорения кибератак с помощью ИИ .

Новая гонка вооружений в киберпространстве

Появление систем вроде Claude Mythos и Daybreak показывает более широкий тренд.

ИИ ускоряет обе стороны конфликта:

• атакующие могут находить уязвимости в огромных масштабах
• защитники могут автоматически сканировать код, моделировать атаки и создавать исправления

Фактически будущее кибербезопасности может зависеть от того, кто быстрее автоматизирует свои процессы.

Поэтому правительства и регуляторы всё чаще считают, что банкам и крупным компаниям придётся внедрять ИИ‑инструменты защиты просто для того, чтобы не отставать от ИИ‑угроз.

К чему должны готовиться банки и компании

Регуляторы дают понять: важна не только технология, но и управление рисками.

Финансовые организации должны доказать, что способны безопасно использовать ИИ и контролировать его последствия. Среди ключевых направлений, которые обсуждаются сегодня:

• строгие системы управления рисками ИИ
• контролируемый доступ к мощным кибер‑моделям
• безопасные практики разработки программного обеспечения
• стресс‑тесты на устойчивость к атакам с использованием ИИ
• сотрудничество между регуляторами, банками и компаниями кибербезопасности

Это отражает более широкий сдвиг: вместо редких обнаружений уязвимостей организации могут вскоре столкнуться с постоянным автоматизированным поиском слабых мест в своих системах.

Итог

Появление ИИ‑моделей, способных быстро находить уязвимости в программном обеспечении, заставило банки и регуляторов пересмотреть стратегию кибербезопасности. Claude Mythos демонстрирует, насколько быстро такие слабые места могут обнаруживаться, а проекты вроде Daybreak пытаются дать защитникам сопоставимые возможности автоматизации.

Какая сторона в итоге окажется впереди — атакующие или защитники — во многом будет зависеть от того, насколько быстро организации смогут внедрить ИИ‑инструменты безопасности и насколько эффективно регуляторы смогут контролировать их использование.