Hitech logo

Кейсы

Модель Anthropic за месяц нашла более 10 тыс. критических уязвимостей в ПО

TODO:
Екатерина Шемякинская25 мая, 08:54

Anthropic подвела первые итоги проекта Glasswing — инициативы по защите критически важного программного обеспечения с помощью ИИ. Компания заявила, что её модель Claude Mythos Preview всего за месяц помогла обнаружить более 10 тыс. уязвимостей высокой и критической степени опасности в инфраструктурном ПО, браузерах, облачных сервисах и open-source проектах. В Anthropic считают, что индустрия вступает в новую фазу кибербезопасности, где главной проблемой становится уже не поиск багов, а скорость их исправления.

00
Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Проект Glasswing был запущен в прошлом месяце совместно с крупными технологическими компаниями и организациями, включая Amazon Web Services, Google, Microsoft, Apple, Cisco, NVIDIA, Palo Alto Networks и Linux Foundation. Около 50 партнёров получили доступ к ограниченной версии Claude Mythos Preview для сканирования собственных систем и ПО. Anthropic утверждает, что модель способна автономно находить сложные уязвимости, которые годами оставались незамеченными даже после миллионов автоматических проверок.

Telegram начал автоматически подключать пользователей из России к своему встроенному прокси

Некоторые компании уже сообщили о резком росте эффективности поиска ошибок. Cloudflare заявила, что обнаружила 2000 уязвимостей в своих системах, включая 400 критических и опасных. Mozilla рассказала, что при тестировании Firefox 150 модель помогла выявить и исправить 271 уязвимость — более чем в десять раз больше по сравнению с предыдущими тестами на базе Claude Opus 4.6. По данным Anthropic, аналогичный рост темпов исправлений наблюдают Microsoft, Oracle и Palo Alto Networks.

Отдельное внимание компания уделила открытому программному обеспечению. За несколько месяцев Mythos Preview просканировал более 1000 open-source проектов, лежащих в основе значительной части интернета. По оценке Anthropic, модель обнаружила свыше 23 тыс. потенциальных уязвимостей, из которых 6202 были классифицированы как серьёзные или критические. После независимой проверки 90,6% найденных проблем подтвердились как реальные, а более тысячи получили высокий или критический уровень опасности. В среднем, на устранение одной серьёзной ошибки уходит около двух недель. Разработчики открытого ПО уже жалуются на нехватку ресурсов и просят замедлить темпы отчётов.

Одним из примеров стала уязвимость в криптографической библиотеке wolfSSL, используемой миллиардами устройств по всему миру. Mythos Preview смог создать эксплойт, позволяющий подделывать цифровые сертификаты и выдавать фальшивые сайты за настоящие. Проблема уже исправлена. Anthropic также ранее сообщала, что модель находила баги возрастом более 20 лет в OpenBSD, Linux и FFmpeg.

Помимо поиска багов, Mythos Preview начали использовать и для других задач кибербезопасности. Один из банковских партнёров Anthropic сообщил, что модель помогла предотвратить мошеннический перевод на сумму $1,5 млн после взлома электронной почты клиента и серии поддельных звонков. Anthropic также запустила инструменты Claude Security для корпоративного сканирования кода и программу Cyber Verification, позволяющую специалистам по безопасности использовать модели компании для тестирования инфраструктуры и поиска уязвимостей.

Anthropic пока не планирует открытый релиз Mythos Preview. Компания считает, что подобные модели могут быть опасны при неправильном использовании, поскольку сильно упрощают поиск и эксплуатацию уязвимостей. Вместо этого Anthropic намерена постепенно расширять Project Glasswing совместно с правительствами и крупными организациями, параллельно разрабатывая дополнительные механизмы защиты для будущих моделей класса Mythos.