Почему модель Anthropic Mythos вызывает предупреждения кибербезопасности у регуляторов G20

Для команд кибербезопасности такая технология потенциально очень ценна: чем раньше обнаружена уязвимость, тем быстрее её можно исправить. Однако здесь же появляется и обратная сторона — ускорение поиска уязвимостей может означать и ускорение их эксплуатации.

Почему Anthropic проводит брифинг для Financial Stability Board

Financial Stability Board (FSB) — международный орган координации финансовой стабильности. В него входят центральные банки, финансовые регуляторы и министерства финансов стран G20. Когда технологические изменения могут затронуть стабильность мировой финансовой системы, именно эта площадка становится ключевой для обсуждения.

Anthropic согласилась провести брифинг для FSB после того, как её модель выявила уязвимости, потенциально связанные с инфраструктурой глобальной финансовой системы. Инициатива обсуждения, как сообщается, исходила от главы Банка Англии Эндрю Бейли, который одновременно возглавляет FSB. На встречах ожидается участие представителей центральных банков и финансовых министерств стран G20.

Причина беспокойства очевидна: современная финансовая система зависит от сложной цифровой инфраструктуры — банковских приложений, облачных сервисов, платёжных сетей, систем аутентификации и огромного количества стороннего программного обеспечения. Уязвимость в широко используемой программе может затронуть множество финансовых институтов одновременно.

Почему модель считают слишком опасной для открытого релиза

Anthropic сознательно отказалась от публичного выпуска Mythos. Компания опасается, что такая система может значительно снизить порог для обнаружения серьёзных уязвимостей в критически важном программном обеспечении.

Если инструмент способен автоматически находить эксплуатируемые ошибки в операционных системах, браузерах или сетевой инфраструктуре, им могут воспользоваться не только специалисты по защите, но и преступные группировки или государственные хакерские команды.

Именно поэтому модель рассматривается как технология двойного назначения: она одновременно усиливает оборону и потенциально может усилить наступательные кибератаки.

Project Glasswing: контролируемый доступ

Вместо открытого запуска Anthropic создала программу Project Glasswing — инициативу с ограниченным доступом к модели.

В рамках программы к Mythos допускаются только тщательно отобранные организации, отвечающие за критическую цифровую инфраструктуру. Среди партнёров, по сообщениям, находятся:

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• NVIDIA
• Linux Foundation
• Palo Alto Networks

Эти компании могут использовать модель для поиска уязвимостей в программных платформах и инфраструктуре, от которых зависят миллиарды пользователей. Основная цель — найти и устранить проблемы до того, как их обнаружат атакующие.

Почему регуляторы говорят о «системном риске»

Финансовые регуляторы всё чаще рассматривают новые киберинструменты на базе ИИ не просто как технологический вопрос, а как потенциальный системный риск для мировой экономики.

Совет по финансовой стабильности ранее предупреждал, что распространение ИИ может усиливать уязвимости финансового сектора по нескольким направлениям, включая:

• зависимость от небольшого числа технологических поставщиков
• рост киберрисков
• одновременные сбои у многих участников рынка
• недостаточный контроль и управление ИИ‑моделями

Банки, платёжные системы и биржи часто используют одинаковые облачные платформы, библиотеки и программные компоненты. Поэтому одна критическая ошибка может одновременно затронуть множество организаций. Если ИИ ускоряет поиск таких ошибок — или их эксплуатацию — последствия могут быстро распространиться по всей мировой финансовой системе.

Что пока остаётся неизвестным

Несмотря на растущий интерес, многие детали о Mythos остаются закрытыми.

Anthropic не раскрывает, какие именно уязвимости обнаружила модель, насколько они серьёзны и подтверждены ли независимыми исследователями. Значительная часть информации основана на заявлениях компании и журналистских расследованиях, а не на опубликованных технических отчётах.

Такая осторожность объяснима: раскрытие конкретных слабых мест в системах может само по себе создать новые угрозы.

Новый этап в кибербезопасности

История Mythos отражает более широкую тенденцию. Искусственный интеллект начинает резко ускорять и защиту, и атаки в киберпространстве.

То, на что раньше у специалистов по безопасности уходили недели или месяцы анализа кода, мощные модели могут выполнять за часы или даже минуты. В результате перед компаниями, правительствами и банками возникает новая задача: использовать ИИ для защиты критической инфраструктуры быстрее, чем те же технологии смогут использовать атакующие.