Внутри Project Glasswing: ИИ Claude Mythos нашел более 10 000 критических уязвимостей, включая ошибку в OpenBSD возрастом 27 лет

Логика решения очевидна: в Anthropic подсчитали, что успешная кибератака на одну из этих групп критической инфраструктуры может повлечь за собой значительный системный риск. Размещая свой самый мощный защитный инструмент непосредственно в руках организаций, обеспечивающих основные услуги, компания делает ставку на то, что проактивная защита в больших масштабах сможет обогнать злоумышленников .

Конкретные имена из новой волны иллюстрируют глобальный охват и стратегическую глубину программы.

Компания BeyondTrust, лидер в области управления привилегированным доступом, присоединилась 8 июня 2026 года. Ее кодовая база глубоко интегрирована в правительственные и жизненно важные службы, и доступ к Mythos Preview будет использоваться для ускорения поиска и устранения уязвимостей во всем портфеле ее продуктов .

Несколькими днями ранее, 5 июня, о своем участии объявила Hitachi . Японский промышленный гигант применит Mythos Preview для своего программного обеспечения социальной инфраструктуры — цифрового фундамента, лежащего в основе энергосетей, транспортных сетей и систем городской инфраструктуры .

Эти партнеры присоединяются к существующему списку, в который входят Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA и правительственные учреждения США, создавая межотраслевую оборонительную коалицию, у которой мало исторических аналогов .

Модель, которая ломает правила кибербезопасности

Стратегическая срочность Project Glasswing является прямым ответом на ошеломляющие способности Claude Mythos Preview — непредназначенной для общего пользования передовой модели, которую в собственной документации Anthropic описывает как «поразительно способную в задачах компьютерной безопасности» . Модель — это не просто помощник. Она действует как автономный исследователь уязвимостей и разработчик эксплойтов.

В ходе внутреннего тестирования Anthropic подтвердила, что Mythos Preview может выявлять, а затем самостоятельно конструировать работающие эксплойты для уязвимостей нулевого дня в каждой основной операционной системе и каждом крупном веб-браузере, когда пользователь дает ей такое задание .

Масштаб ее результатов затмевает предыдущие бенчмарки. В сравнительном тесте против Firefox 147 модель Mythos Preview сгенерировала 181 работающий эксплойт на JavaScript shell. Для сравнения, предыдущая лидирующая модель, Claude Opus 4.6, создала всего два .

К концу мая 2026 года партнеры Project Glasswing использовали модель для выявления более 10 000 недостатков безопасности высокого или критического уровня . Всего один ранний запуск в Cloudflare выявил около 400 критических ошибок, а Mozilla использовала полученные данные для исправления 271 уязвимости в Firefox 150 .

В более чем 1000 проектов с открытым исходным кодом модель отметила 23 019 проблем, при этом профессиональные подрядчики по безопасности подтвердили рейтинг серьезности для 89% из проверенной вручную выборки .

Охота за ошибками десятилетней давности

Самой громкой находкой стала ошибка в операционной системе OpenBSD, известной своим кодом, прошедшим множественные аудиты и проверки на прочность. Обнаруженная уязвимость в реализации протокола TCP SACK пролежала в коде 27 лет и позволяла обрушить практически любой сервер всего двумя пакетами . Стоимость вычислительных ресурсов для конкретного запуска модели, нашедшего этот баг, составила менее 50 долларов, в то время как полная кампания по его обнаружению традиционными методами обошлась бы примерно в 20 000 долларов .

Среди других заметных находок — 17-летняя уязвимость с возможностью удаленного выполнения кода в FreeBSD (CVE-2026-4747), дающая неавторизованный root-доступ, и 16-летний дефект в FFmpeg .

$100 млн на опережение угроз

Осознавая двойное назначение такой технологии, Anthropic приняла беспрецедентное решение не предоставлять модель в общий доступ. Вместо этого она действует в рамках строго контролируемой инициативы Project Glasswing .

Чтобы стимулировать использование ИИ в защитных целях, компания обязалась предоставить до 100 миллионов долларов США в виде кредитов на использование модели, покрывая вычислительные расходы партнеров на сканирование их кодовых баз . Кроме того, Anthropic выделяет 4 миллиона долларов в виде пожертвований группам по безопасности с открытым исходным кодом .

Расширение Project Glasswing подчеркивает фундаментальный сдвиг: лучшая защита от ИИ нового поколения — это, возможно, сам ИИ. Однако решение о том, кто именно получает доступ к этому оружию, становится одним из самых судьбоносных вызовов новой эры кибербезопасности.