На протяжении многих лет эксперты по кибербезопасности предупреждали о хаосе, который могут спровоцировать высокоэффективные хакерские боты. Похоже, что Claude Mythos Preview представляет собой не просто постепенное развитие, а начало смены парадигмы. Anthropic непланирует выпускать модель в публичный доступ из-за высоких рисков в сфере кибербезопасности. Доступ к Claude Mythos Preview предоставлен ограниченному числу корпоративных партнеров в рамках инициативы Project Glasswing. Однако еще большее беспокойство, чем заявленные возможности Mythos Preview, вызывает тот факт, что другие компании уже дышат им в спину.
Не секрет, сегодня существуют мощные системы искусственного интеллекта, которые в отличие от людей гораздо эффективнее справляются с поиском и использованием различных уязвимостей. В ближайшем будущем (возможно, в течение двух-трех лет) такие инструменты появятся у многих ИИ-компаний и станут общедоступными. Безусловно, эти же системы можно использовать и для устранения брешей в защите, однако эксперты по кибербезопасности отмечают, что сама природа уязвимых систем такова, что найти и эксплуатировать их гораздо проще, чем исправить. Нападение всегда опережает защиту.
В течение многих десятилетий мы знали, как писать достаточно безопасное программное обеспечение. Это занимает немного больше времени, и вопросы безопасности должны быть центральными на ранних этапах проектирования, но это возможно. Однако разработчики обычно слишком спешили вывести продукт на рынок, чтобы это сделать. Поэтому большинство современных программных систем изобилуют уязвимостями.
Поскольку наш мир стал во многом зависеть от программного обеспечения, вызывает серьезную обеспокоенность тот факт, что вскоре нам, возможно, придется обходиться значительно меньшим количеством программ. Насколько уязвимы такие важные системы, как электроснабжение, автомобили, светофоры, системы голосования и платежные системы? Думаю, мы этого не знаем. Остерегайтесь грядущей «хакерской катастрофы».
Для понимания. Mythos Preview без малейшей помощи со стороны человека написала рабочий эксплойт для 17-летней уязвимости (CVE-2026-4747). Модель нашла способ «переполнить» буфер памяти при сетевом подключении по протоколу NFS и применила сложнейшую технику, известную как ROP (Return-Oriented Programming).
ROP можно сравнить с письмом шантажиста: ИИ буквально «вырезал» безопасные кусочки инструкций из самой операционной системы и составил из них вредоносную команду (в данном случае — добавление своего ключа администратора для доступа по SSH). ИИ не просто нашел ошибку, но и обошел все встроенные защитные механизмы, продемонстрировав квалификацию хакера высшего уровня.