ШІ, який знайшов 27-річну вразливість в OpenBSD: як Anthropic перевертає кібербезпеку

Логіка проста. В Anthropic підрахували, що успішна кібератака на одну з таких груп критичної інфраструктури може спричинити величезний системний ризик. Компанія робить ставку на те, що, передавши свій найпотужніший інструмент безпеки безпосередньо в руки організацій, які забезпечують роботу життєво важливих сервісів, проактивний захист зможе випередити зловмисників .

Нові гравці вражають своїм масштабом та географією. BeyondTrust, лідер у сфері безпеки привілейованих ідентифікаційних даних, приєднався 8 червня 2026 року. Його код глибоко інтегрований у державні установи та життєво важливі сервіси, тому доступ до Mythos Preview буде використано для пришвидшення пошуку та усунення вразливостей у всьому портфелі продуктів компанії .

Кількома днями раніше, 5 червня, про свою участь оголосила Hitachi. Японський промисловий гігант застосує Mythos Preview до свого програмного забезпечення для соціальної інфраструктури — цифрового фундаменту, що лежить в основі енергетичних мереж, транспортних систем та міської інфраструктури .

Ці партнери приєднуються до таких гравців, як Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA та урядових агенцій США, створюючи міжгалузеву оборонну коаліцію, яка має небагато історичних прецедентів .

Модель, яка ламає правила кібербезпеки

Стратегічна терміновість Project Glasswing є прямою відповіддю на приголомшливі можливості Claude Mythos Preview — непублічної передової моделі, яку в документації самої Anthropic описують як «вражаюче здібну до завдань комп'ютерної безпеки» . Ця модель — не просто асистент. Вона діє як автономний дослідник вразливостей та розробник експлойтів.

Під час внутрішнього тестування Anthropic підтвердила, що Mythos Preview могла виявляти, а потім автономно створювати робочі експлойти для вразливостей нульового дня в кожній основній операційній системі та кожному основному веб-браузері, якщо користувач давав їй відповідну команду . Її продуктивність затьмарює попередні тести. У порівняльному тесті на Firefox 147 Mythos Preview згенерувала 181 робочий JavaScript-експлойт. Для порівняння, попередня лідируюча модель Claude Opus 4.6 — лише два .

До кінця травня 2026 року партнери Project Glasswing використали модель для виявлення понад 10 000 вразливостей високого або критичного рівня небезпеки . За один ранній запуск у Cloudflare було виявлено близько 400 критичних помилок, тоді як Mozilla використала знахідки для виправлення 271 вразливості у Firefox 150 . У понад 1 000 open-source проєктах модель позначила 23 019 проблем, причому професійні підрядники з безпеки підтвердили оцінку серйозності для 89% вибірки, перевіреної вручну .

Полювання на вразливості, яким десятки років

Одним із найяскравіших досягнень моделі став баг в OpenBSD — операційній системі, яка відома своєю параноїдальною увагою до безпеки. Claude Mythos Preview виявила 27-річну вразливість у реалізації протоколу TCP SACK. Вона була внесена в код ще у 1998 році і дозволяла «впустити» будь-який сервер за допомогою лише двох мережевих пакетів . Те, що десятиліттями не помічали люди-аудитори, фаззери та найвимогливіші практики перевірки коду, ШІ знайшов автономно, витративши на це менше ніж $50 обчислювальних ресурсів .

Не менш вражаючими є й інші знахідки: 17-річна вразливість віддаленого виконання коду у файловій системі NFS у FreeBSD (CVE-2026-4747), яка могла надати неавтентифікованому користувачеві права суперкористувача, та 16-річна вада у популярному мультимедійному фреймворку FFmpeg, яка пережила 5 мільйонів автоматичних тестів .

$100 мільйонів на оборону: чому модель ніколи не з'явиться у відкритому доступі

Саме ці можливості — причина, чому Anthropic навідріз відмовляється робити Mythos Preview загальнодоступною. Ризик подвійного використання надто високий. Замість цього, доступ до моделі суворо контролюється програмою Project Glasswing, а учасники підписують жорсткі угоди, що забороняють наступальне використання .

Щоб підтримати цю безпрецедентну оборонну ініціативу, Anthropic зобов'язалася надати до $100 мільйонів у вигляді кредитів на використання моделі, покриваючи обчислювальні витрати партнерів на сканування їхніх кодових баз . Крім того, компанія пожертвувала $4 мільйони групам безпеки відкритого програмного забезпечення . Це створює безпрецедентний прецедент: приватна компанія фактично субсидує глобальну кібероборону, використовуючи ШІ, який водночас є найнебезпечнішою зброєю в чиїхось руках.

Розширення Project Glasswing знаменує собою нову еру в кібербезпеці — перехід від реактивного «латання дірок» після атак до проактивного пошуку та знищення вразливостей, які ховалися в коді десятиліттями. І хоча дискусії про етичність та ризики такого потужного ШІ триватимуть, одне можна сказати напевно: код, написаний у 1998 році, вже ніколи не буде в безпеці.