Само за месец: AI моделът Mythos на Anthropic e открил 10 000 критични уязвимости в широко използван софтуер

Anthropic обяви, че AI моделът ѝ Mythos, част от инициативата Project Glasswing вече е открил над 10 000 уязвимости с висока и критична степен на опасност в ключови софтуерни продукти. Проектът стартира преди месец като съвместна инициатива с около 50 партньора: целта е да се укрепи важният код предварително, преди мощните AI модели да започнат масово да се използват за търсене и експлоатация на уязвимости.

Основният извод от първите седмици звучи неприятно за цялата индустрия за сигурност: слабото място се е преместило. Преди разработчиците и изследователите се сблъскваха с проблема със скоростта на търсене на нови уязвимости. Сега Claude Mythos Preview ги открива толкова бързо, че времето за проверка, отговорно разкриване и подготовка на поправки просто не стига.

Anthropic не разкрива техническите подробности за повечето открития. В индустрията отдавна действа строг ред: обикновено за нова уязвимост се съобщава публично 90 дни след откриването ѝ или приблизително 45 дни след излизането на пача, ако поправката се появи по-рано. Този срок е необходим, за да могат потребителите да успеят да актуализират софтуера, преди подробностите да стигнат до злонамерените лица. Ето защо компанията в момента предоставя обобщени цифри и отделни примери, а не пълно разглеждане на всички уязвимости.

Партньорите на Project Glasswing обслужват софтуерни системи, от които зависят интернет и критично важната инфраструктура. През първия месец повечето участници откриха в кода си стотици уязвимости с висока или критична степен на опасност. Няколко компании съобщиха, че скоростта на откриване на грешки се е увеличила повече от 10 пъти. В Cloudflare, например, моделът откри 2000 уязвимости в критично важни системи, от които 400 получиха висока или критична оценка.

Първите последствия вече се забелязват в кръпките. В най-новата версия на Palo Alto Networks броят на поправките се оказа над 5 пъти по-голям от обичайния. Microsoft предупреди, че броят на новите кръпки ще продължи да нараства още известно време. Oracle също започна да открива и отстранява уязвимости в своите продукти и облачни услуги значително по-бързо от преди.

Mythos Preview се оказа полезен не само в анализа на код. В една от банките, участващи в Project Glasswing, Mythos помогна да се открие и спре измамен превод на 1,5 млн. долара. Преди това злонамерен човек е компрометирал електронната поща на клиента и е използвал фалшиви телефонни обаждания. Отделно Anthropic проверява и сферата на open-source. През последните месеци компанията е сканирала над 1000 open-source проекта, на които се крепи значителна част от интернет и собствената инфраструктура на Anthropic. Мythos е открил 23 019 потенциални уязвимости от всички нива на опасност. От тях 6202 са оценени като високи или критични.

Част от находките вече са проверени от 6 независими компании за сигурност и от самата Anthropic. От 1752 уязвимости с висока или критична степен 90,6% се оказаха реални проблеми, а 62,4% потвърдиха първоначалната си сериозност. В абсолютни числа това са 1587 реални уязвимости и 1094 потвърдени грешки с висока или критична степен. При запазване на настоящия дял на потвържденията, дори без нови находки, Mythos Preview може да изведе на повърхността почти 3900 сериозни уязвимости в отворения код.

Един от примерите е свързан с wolfSSL – отворена криптографска библиотека, която се използва от милиарди устройства. Mythos Preview създаде експлойт за уязвимост, позволяваща фалшифицирането на сертификати. В практически сценарий атакуващият би могъл да създаде фалшив сайт на банка или пощенска услуга, който за обикновения потребител би изглеждал легитимен. Уязвимостта вече е отстранена, на нея е присвоен номер CVE-2026-5194, а техническият анализ на Anthropic ще бъде публикуван в следващите седмици.

За разработчиците настъпва опасен преходен период.

AI моделите от нивото на Mythos Preview драстично намаляват времето и разходите за търсене на уязвимости, но пускането и инсталирането на поправки все още протичат по-бавно. В бъдеще такива системи могат да помогнат за писането на по-безопасен код още преди пускането на продукта. В момента обаче индустрията получи много нови открития, а обичайните процеси на проверка и актуализация не успяват да се справят със скоростта на AI.

Anthropic съветва разработчиците да съкратят циклите на пускане на кръпки, да предоставят по-бързо поправките на потребителите и да опростят инсталирането на актуализациите. Организациите, които защитават мрежите, трябва да ускорят тестването и разгръщането на пачове, както и да не отлагат основните мерки: строги настройки по подразбиране, многофакторна автентификация и пълноценни логове за разследване на инциденти. Такива мерки намаляват риска дори когато отделен пач все още не е инсталиран.

Компанията вече започна да предоставя част от инструментите на специалистите по сигурност. Claude Security излезе в публична бета версия за клиентите на Claude Enterprise. Услугата сканира кодовите бази, търси уязвимости и предлага корекции. През първите 3 седмици Claude Opus 4.7 беше използван за отстраняване на над 2100 уязвимости. В корпоративния код процесът протича по-бързо, отколкото в open-source проектите, защото компаниите управляват собствените си системи, а не чакат доброволни сътрудници и процедура за координирано разкриване.