10 000 уязвимостей. Без перерыва. Без ложных тревог. Новая модель Claude находит баги в 10 раз быстрее, чем люди пишут патчи
NewsMakerКомпания делится успехами Project Glasswing за месяц.
Anthropic заявила , что Project Glasswing уже нашёл больше 10 000 уязвимостей высокой и критической степени опасности в ключевом программном обеспечении. Проект запустили месяц назад как совместную инициативу с примерно 50 партнёрами: цель - заранее укрепить важный код до того, как мощные ИИ-модели начнут массово использовать для поиска и эксплуатации ошибок.
Главный вывод первых недель звучит неприятно для всей индустрии безопасности: узкое место сместилось. Раньше разработчики и исследователи упирались в скорость поиска новых уязвимостей. Теперь Claude Mythos Preview находит их настолько быстро, что не хватает людей для проверки, ответственного раскрытия и подготовки исправлений.
Anthropic не раскрывает технические детали большинства находок. В индустрии давно действует строгий порядок: обычно о новой уязвимости публично рассказывают через 90 дней после обнаружения или примерно через 45 дней после выхода патча, если исправление появилось раньше. Такой срок нужен, чтобы пользователи успели обновиться до того, как подробности попадут к злоумышленникам. Поэтому компания сейчас даёт агрегированные цифры и отдельные примеры, а не полноценный разбор всех ошибок.
Партнёры Project Glasswing обслуживают программные системы, от которых зависят интернет и критически важная инфраструктура. За первый месяц большинство участников нашли в своём коде сотни уязвимостей высокой или критической степени опасности. Несколько компаний сообщили, что скорость поиска ошибок выросла более чем в 10 раз. У Cloudflare, например, модель обнаружила 2000 багов в критически важных системах, из них 400 получили высокую или критическую оценку. В самой Cloudflare долю ложных срабатываний сочли лучше, чем у человеческих тестировщиков.
Схожие результаты показали внешние проверки. Институт безопасности ИИ Великобритании сообщил, что Mythos Preview стала первой моделью, которая прошла оба его киберполигона от начала до конца. Такие полигоны имитируют многошаговые атаки, где недостаточно найти одну ошибку: нужно выстроить цепочку действий. Mozilla во время тестирования Mythos Preview нашла и исправила 271 уязвимость в Firefox 150. Это более чем в 10 раз больше, чем команда находила в Firefox 148 с Claude Opus 4.6.
Независимая платформа XBOW назвала Mythos Preview заметным шагом вперёд по сравнению с существующими моделями на тестах веб-эксплуатации. Академические наборы ExploitBench и ExploitGym, которые измеряют способность ИИ разрабатывать эксплойты , также вывели Mythos Preview на первое место среди проверенных моделей.
Первые последствия уже видны в патчах. В свежем релизе Palo Alto Networks исправлений оказалось более чем в 5 раз больше обычного. Microsoft предупредила, что число новых патчей ещё некоторое время будет расти. Oracle тоже начала находить и закрывать уязвимости в своих продуктах и облаке заметно быстрее прежнего.
Mythos Preview пригодилась не только для анализа кода. В одном из банков, участвующих в Project Glasswing, модель помогла обнаружить и остановить мошеннический перевод на $1,5 млн. Перед этим злоумышленник скомпрометировал почту клиента и использовал поддельные телефонные звонки.
Отдельно Anthropic проверяет открытый код . За последние месяцы компания просканировала больше 1000 open-source проектов, на которых держится значительная часть интернета и собственная инфраструктура Anthropic. Модель нашла 23 019 потенциальных уязвимостей всех уровней опасности. Из них 6202 она оценила как высокие или критические.
Часть находок уже проверили 6 независимых компаний по безопасности и сама Anthropic. Из 1752 уязвимостей высокой или критической степени 90,6% оказались настоящими проблемами, а 62,4% подтвердили исходную серьёзность. В абсолютных числах это 1587 реальных уязвимостей и 1094 подтверждённые ошибки высокого или критического уровня. При сохранении нынешней доли подтверждений даже без новых находок Mythos Preview может вывести на поверхность почти 3900 серьёзных уязвимостей в открытом коде.
Один из примеров связан с wolfSSL, открытой криптографической библиотекой, которую используют миллиарды устройств. Mythos Preview построила эксплойт для ошибки, позволяющей подделывать сертификаты. В практическом сценарии атакующий мог бы поднять фальшивый сайт банка или почтового сервиса, который для обычного пользователя выглядел бы легитимным. Уязвимость уже закрыли, ей присвоили номер CVE-2026-5194 , а технический разбор Anthropic обещает опубликовать в ближайшие недели.
Проверка таких находок требует много ручной работы. Сначала специалисты воспроизводят проблему, заново оценивают опасность, проверяют наличие исправлений и только потом готовят подробный отчёт для разработчиков проекта. Anthropic подчёркивает, что к open-source сопровождающим приходится подходить осторожно: они и без того завалены низкокачественными отчётами, сгенерированными ИИ. Несколько команд попросили Anthropic замедлить раскрытие, потому что им нужно больше времени на патчи. В среднем серьёзная уязвимость, найденная Mythos Preview, закрывается за 2 недели.
Иногда разработчики просят передавать баги напрямую, без дополнительной проверки. Так Anthropic уже раскрыла 1129 непроверенных находок, из которых 175 модель оценила как высокие или критические. Всего сопровождающим передали 530 серьёзных уязвимостей. Ещё 827 подтверждённых проблем Anthropic планирует раскрыть как можно быстрее.
Патчей пока меньше, чем найденных ошибок. Из 530 переданных уязвимостей высокой или критической степени закрыты 75, а 65 получили публичные уведомления. Anthropic объясняет разрыв 3 причинами. Первая: многие находки ещё находятся внутри 90-дневного окна координированного раскрытия. Вторая: часть проектов исправляет ошибки без публичных бюллетеней, поэтому патчи приходится отдельно искать. Третья важнее остальных: даже осторожный темп раскрытия уже перегружает экосистему безопасности.
Для разработчиков наступает промежуточный опасный период. Модели уровня Mythos Preview резко сокращают время и стоимость поиска уязвимостей, но выпуск и установка исправлений по-прежнему идут медленнее. В будущем такие системы могут помогать писать более безопасный код ещё до релиза. Сейчас же индустрия получила много новых находок, а привычные процессы проверки и обновления не успевают за скоростью ИИ .
Anthropic советует разработчикам сокращать циклы выпуска патчей, быстрее отдавать пользователям исправления и упрощать установку обновлений. Организациям, которые защищают сети, нужно ускорять тестирование и развёртывание патчей, а также не откладывать базовые меры: жёсткие настройки по умолчанию, многофакторную аутентификацию и полноценные журналы для расследования инцидентов. Такие меры снижают риск даже тогда, когда отдельный патч ещё не установлен.
Компания уже начала отдавать часть инструментов защитникам. Claude Security вышел в публичной бета-версии для клиентов Claude Enterprise. Сервис сканирует кодовые базы, ищет уязвимости и предлагает исправления. За первые 3 недели Claude Opus 4.7 использовали для закрытия более 2100 уязвимостей. В корпоративном коде процесс идёт быстрее, чем в open-source проектах, потому что компании правят собственные системы, а не ждут добровольных сопровождающих и процедуру координированного раскрытия.
Anthropic также запустила Cyber Verification Program. Программа позволяет специалистам по безопасности использовать модели для легальных задач, включая исследование уязвимостей, тестирование на проникновение и имитацию атак, без части ограничений, которые нужны для защиты от злоупотреблений. Для квалифицированных клиентов компания открывает инструменты, которые сама использовала с Mythos Preview: наборы инструкций для повторяющихся задач, обвязку для анализа кодовой базы, запуска подагентов, сортировки находок и подготовки отчётов, а также конструктор модели угроз, который помогает понять, какие части проекта интереснее атакующему.
Партнёры тоже начинают делиться наработками. Cisco открыла Foundry Security Spec, чтобы другие команды могли строить похожие системы оценки. Anthropic сотрудничает с проектом Alpha-Omega фонда Open Source Security Foundation, чтобы помогать сопровождающим open-source проектов обрабатывать и сортировать отчёты об ошибках. Компания также поддержала разработку ExploitBench и ExploitGym и обещает сканировать open-source пакеты, которые сама будет брать в работу.
Anthropic пока не выпускает модели класса Mythos в общий доступ. Компания прямо связывает это с отсутствием достаточно сильных защит от злоупотреблений: если модель такого уровня окажется доступна без серьёзных ограничений, эксплуатация уязвимого ПО станет дешевле и проще для гораздо большего числа людей. Project Glasswing должен дать фору защитникам: сначала укрепить критически важные системы, а уже потом расширять доступ к самым сильным моделям.
Дальше Anthropic планирует расширять Project Glasswing вместе с ключевыми партнёрами, включая правительства США и союзных стран. Общий релиз моделей класса Mythos компания обещает только после появления более надёжных защитных механизмов. Пока главный итог первых недель звучит так: ИИ уже умеет массово находить серьёзные ошибки, а индустрии безопасности срочно нужно научиться так же быстро проверять, исправлять и разворачивать патчи.
Anthropic заявила , что Project Glasswing уже нашёл больше 10 000 уязвимостей высокой и критической степени опасности в ключевом программном обеспечении. Проект запустили месяц назад как совместную инициативу с примерно 50 партнёрами: цель - заранее укрепить важный код до того, как мощные ИИ-модели начнут массово использовать для поиска и эксплуатации ошибок.
Главный вывод первых недель звучит неприятно для всей индустрии безопасности: узкое место сместилось. Раньше разработчики и исследователи упирались в скорость поиска новых уязвимостей. Теперь Claude Mythos Preview находит их настолько быстро, что не хватает людей для проверки, ответственного раскрытия и подготовки исправлений.
Anthropic не раскрывает технические детали большинства находок. В индустрии давно действует строгий порядок: обычно о новой уязвимости публично рассказывают через 90 дней после обнаружения или примерно через 45 дней после выхода патча, если исправление появилось раньше. Такой срок нужен, чтобы пользователи успели обновиться до того, как подробности попадут к злоумышленникам. Поэтому компания сейчас даёт агрегированные цифры и отдельные примеры, а не полноценный разбор всех ошибок.
Партнёры Project Glasswing обслуживают программные системы, от которых зависят интернет и критически важная инфраструктура. За первый месяц большинство участников нашли в своём коде сотни уязвимостей высокой или критической степени опасности. Несколько компаний сообщили, что скорость поиска ошибок выросла более чем в 10 раз. У Cloudflare, например, модель обнаружила 2000 багов в критически важных системах, из них 400 получили высокую или критическую оценку. В самой Cloudflare долю ложных срабатываний сочли лучше, чем у человеческих тестировщиков.
Схожие результаты показали внешние проверки. Институт безопасности ИИ Великобритании сообщил, что Mythos Preview стала первой моделью, которая прошла оба его киберполигона от начала до конца. Такие полигоны имитируют многошаговые атаки, где недостаточно найти одну ошибку: нужно выстроить цепочку действий. Mozilla во время тестирования Mythos Preview нашла и исправила 271 уязвимость в Firefox 150. Это более чем в 10 раз больше, чем команда находила в Firefox 148 с Claude Opus 4.6.
Независимая платформа XBOW назвала Mythos Preview заметным шагом вперёд по сравнению с существующими моделями на тестах веб-эксплуатации. Академические наборы ExploitBench и ExploitGym, которые измеряют способность ИИ разрабатывать эксплойты , также вывели Mythos Preview на первое место среди проверенных моделей.
Первые последствия уже видны в патчах. В свежем релизе Palo Alto Networks исправлений оказалось более чем в 5 раз больше обычного. Microsoft предупредила, что число новых патчей ещё некоторое время будет расти. Oracle тоже начала находить и закрывать уязвимости в своих продуктах и облаке заметно быстрее прежнего.
Mythos Preview пригодилась не только для анализа кода. В одном из банков, участвующих в Project Glasswing, модель помогла обнаружить и остановить мошеннический перевод на $1,5 млн. Перед этим злоумышленник скомпрометировал почту клиента и использовал поддельные телефонные звонки.
Отдельно Anthropic проверяет открытый код . За последние месяцы компания просканировала больше 1000 open-source проектов, на которых держится значительная часть интернета и собственная инфраструктура Anthropic. Модель нашла 23 019 потенциальных уязвимостей всех уровней опасности. Из них 6202 она оценила как высокие или критические.
Часть находок уже проверили 6 независимых компаний по безопасности и сама Anthropic. Из 1752 уязвимостей высокой или критической степени 90,6% оказались настоящими проблемами, а 62,4% подтвердили исходную серьёзность. В абсолютных числах это 1587 реальных уязвимостей и 1094 подтверждённые ошибки высокого или критического уровня. При сохранении нынешней доли подтверждений даже без новых находок Mythos Preview может вывести на поверхность почти 3900 серьёзных уязвимостей в открытом коде.
Один из примеров связан с wolfSSL, открытой криптографической библиотекой, которую используют миллиарды устройств. Mythos Preview построила эксплойт для ошибки, позволяющей подделывать сертификаты. В практическом сценарии атакующий мог бы поднять фальшивый сайт банка или почтового сервиса, который для обычного пользователя выглядел бы легитимным. Уязвимость уже закрыли, ей присвоили номер CVE-2026-5194 , а технический разбор Anthropic обещает опубликовать в ближайшие недели.
Проверка таких находок требует много ручной работы. Сначала специалисты воспроизводят проблему, заново оценивают опасность, проверяют наличие исправлений и только потом готовят подробный отчёт для разработчиков проекта. Anthropic подчёркивает, что к open-source сопровождающим приходится подходить осторожно: они и без того завалены низкокачественными отчётами, сгенерированными ИИ. Несколько команд попросили Anthropic замедлить раскрытие, потому что им нужно больше времени на патчи. В среднем серьёзная уязвимость, найденная Mythos Preview, закрывается за 2 недели.
Иногда разработчики просят передавать баги напрямую, без дополнительной проверки. Так Anthropic уже раскрыла 1129 непроверенных находок, из которых 175 модель оценила как высокие или критические. Всего сопровождающим передали 530 серьёзных уязвимостей. Ещё 827 подтверждённых проблем Anthropic планирует раскрыть как можно быстрее.
Патчей пока меньше, чем найденных ошибок. Из 530 переданных уязвимостей высокой или критической степени закрыты 75, а 65 получили публичные уведомления. Anthropic объясняет разрыв 3 причинами. Первая: многие находки ещё находятся внутри 90-дневного окна координированного раскрытия. Вторая: часть проектов исправляет ошибки без публичных бюллетеней, поэтому патчи приходится отдельно искать. Третья важнее остальных: даже осторожный темп раскрытия уже перегружает экосистему безопасности.
Для разработчиков наступает промежуточный опасный период. Модели уровня Mythos Preview резко сокращают время и стоимость поиска уязвимостей, но выпуск и установка исправлений по-прежнему идут медленнее. В будущем такие системы могут помогать писать более безопасный код ещё до релиза. Сейчас же индустрия получила много новых находок, а привычные процессы проверки и обновления не успевают за скоростью ИИ .
Anthropic советует разработчикам сокращать циклы выпуска патчей, быстрее отдавать пользователям исправления и упрощать установку обновлений. Организациям, которые защищают сети, нужно ускорять тестирование и развёртывание патчей, а также не откладывать базовые меры: жёсткие настройки по умолчанию, многофакторную аутентификацию и полноценные журналы для расследования инцидентов. Такие меры снижают риск даже тогда, когда отдельный патч ещё не установлен.
Компания уже начала отдавать часть инструментов защитникам. Claude Security вышел в публичной бета-версии для клиентов Claude Enterprise. Сервис сканирует кодовые базы, ищет уязвимости и предлагает исправления. За первые 3 недели Claude Opus 4.7 использовали для закрытия более 2100 уязвимостей. В корпоративном коде процесс идёт быстрее, чем в open-source проектах, потому что компании правят собственные системы, а не ждут добровольных сопровождающих и процедуру координированного раскрытия.
Anthropic также запустила Cyber Verification Program. Программа позволяет специалистам по безопасности использовать модели для легальных задач, включая исследование уязвимостей, тестирование на проникновение и имитацию атак, без части ограничений, которые нужны для защиты от злоупотреблений. Для квалифицированных клиентов компания открывает инструменты, которые сама использовала с Mythos Preview: наборы инструкций для повторяющихся задач, обвязку для анализа кодовой базы, запуска подагентов, сортировки находок и подготовки отчётов, а также конструктор модели угроз, который помогает понять, какие части проекта интереснее атакующему.
Партнёры тоже начинают делиться наработками. Cisco открыла Foundry Security Spec, чтобы другие команды могли строить похожие системы оценки. Anthropic сотрудничает с проектом Alpha-Omega фонда Open Source Security Foundation, чтобы помогать сопровождающим open-source проектов обрабатывать и сортировать отчёты об ошибках. Компания также поддержала разработку ExploitBench и ExploitGym и обещает сканировать open-source пакеты, которые сама будет брать в работу.
Anthropic пока не выпускает модели класса Mythos в общий доступ. Компания прямо связывает это с отсутствием достаточно сильных защит от злоупотреблений: если модель такого уровня окажется доступна без серьёзных ограничений, эксплуатация уязвимого ПО станет дешевле и проще для гораздо большего числа людей. Project Glasswing должен дать фору защитникам: сначала укрепить критически важные системы, а уже потом расширять доступ к самым сильным моделям.
Дальше Anthropic планирует расширять Project Glasswing вместе с ключевыми партнёрами, включая правительства США и союзных стран. Общий релиз моделей класса Mythos компания обещает только после появления более надёжных защитных механизмов. Пока главный итог первых недель звучит так: ИИ уже умеет массово находить серьёзные ошибки, а индустрии безопасности срочно нужно научиться так же быстро проверять, исправлять и разворачивать патчи.