Модель Anthropic Mythos выявила уязвимости в чувствительных компьютерных системах правительства США во время контролируемого теста. Это не была атака извне и не история о том, что нейросеть «взломала всё за пару часов». Важнее другое: ИИ всё быстрее становится инструментом, который может искать слабые места в сложном программном обеспечении раньше людей — и раньше злоумышленников.

Mythos проверяли не в открытом интернете, а в закрытом тесте

По данным AP и Reuters, Anthropic работала с американскими разведывательными структурами в рамках Project Glasswing. Цель проекта — находить и исправлять уязвимости в критически важном ПО до того, как ими воспользуются атакующие.

Модель Mythos выявила слабые места в течение нескольких часов. При этом американский чиновник уточнил: обнаружить уязвимость — не то же самое, что использовать её для полноценного проникновения.

В кибербезопасности можно найти ошибку в коде, подозрительный участок системы или потенциальную точку входа. Для реальной атаки нужно подтвердить, что уязвимость эксплуатируется, понять последствия и пройти дополнительные этапы.

Five Eyes предупреждают: счёт идёт на месяцы

За два дня до сообщения о Mythos киберагентства альянса Five Eyes — США, Великобритании, Канады, Австралии и Новой Зеландии — выпустили редкое совместное заявление о рисках ИИ для кибербезопасности.

Главная формулировка жёсткая: продвинутые AI-модели могут превзойти текущие ожидания индустрии и изменить как наступательные, так и оборонительные кибервозможности. Временной горизонт — месяцы, а не годы.

В заявлении не названы конкретные модели или компании. Но на фоне истории с Mythos предупреждение выглядит менее абстрактным: ИИ уже умеет быстро находить слабые места в системах, которые раньше требовали долгой ручной проверки.

Главная новость не во «взломе», а в скорости

Обычная проверка сложных систем занимает недели или месяцы. Команды специалистов изучают код, тестируют компоненты, проверяют конфигурации, ищут известные и неизвестные ошибки.

ИИ меняет темп такой работы. Он может быстро просматривать большие объёмы кода, искать повторяющиеся паттерны, замечать нестандартные связи и предлагать направления для проверки.

Это не отменяет роль экспертов. Найденные слабые места нужно проверить, отсортировать по риску и исправить без ущерба для системы.

Но окно между обнаружением уязвимости и её использованием становится короче. Five Eyes прямо предупреждают: ИИ сокращает время от нахождения слабого места до его эксплуатации.

Project Glasswing превращает ИИ в инструмент киберобороны

Anthropic описывает Project Glasswing как инициативу по защите критического ПО. В проекте участвуют крупные технологические и инфраструктурные компании, включая AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks.

Партнёры получают доступ к Claude Mythos Preview и используют модель для задач вроде поиска уязвимостей, тестирования бинарных файлов, проверки endpoint-систем и penetration testing.

Раньше ИИ чаще обсуждали как риск: фишинг, автоматизация атак, помощь злоумышленникам. Теперь те же возможности пытаются встроить в защиту.

Старые системы становятся стратегической слабостью

Five Eyes отдельно указывают на legacy systems — устаревшие и неподдерживаемые системы. Для бизнеса это не просто технический долг, а стратегическая уязвимость.

Такие системы часто сложно обновлять: они завязаны на производство, логистику, банковские процессы, госуслуги или внутренние базы данных. Их годами не трогают, потому что «работает — не ломай».

В эпоху ИИ такой подход становится опаснее. Модель может быстрее найти слабое место в старом коде, неправильно настроенном доступе или забытом внешнем интерфейсе. Атакующим уже не обязательно вручную просматривать всё с нуля.

Кибербезопасность выходит из IT-отдела

Five Eyes прямо называют киберриск не технической задачей, а вопросом управления бизнесом. Руководители должны понимать, какие системы открыты наружу, какие данные критичны, кто имеет доступ и как компания переживёт инцидент.

Это важный сдвиг. Раньше кибербезопасность часто воспринимали как набор настроек: антивирус, пароли, обновления, резервные копии. Теперь этого мало.

Нужно проверять, выдержат ли меры защиты реальный инцидент. Кто принимает решение об отключении системы. Как быстро ставятся патчи. Как изолируется заражённый сегмент. Как компания продолжит работу, если часть инфраструктуры недоступна.

Самый опасный сценарий — автоматизация атак

Главный риск вокруг таких моделей — не в том, что они помогают защитникам. Похожие возможности могут получить злоумышленники.

ИИ снижает порог входа: помогает искать ошибки, писать вспомогательный код, анализировать ответы систем и собирать цепочку атаки. Он не превращает новичка в элитного хакера мгновенно, но ускоряет работу тех, кто уже понимает базовую логику атак.

Именно поэтому Five Eyes призывают не ждать. Организациям советуют сокращать поверхность атаки, быстрее устанавливать обновления, усиливать контроль доступа, готовить планы реагирования и использовать ИИ в защите так же активно, как атакующие используют его в нападении.

Киберэксперты останутся в центре процесса

Несмотря на громкие заголовки, Mythos не заменяет специалистов по безопасности. Модель может ускорить поиск, но не берёт на себя всю ответственность.

Человек должен понять контекст: насколько важна система, какие данные могут пострадать, можно ли быстро поставить патч, не сломает ли исправление рабочий процесс, нужно ли отключать часть сервиса.

ИИ хорошо работает как усилитель. Он быстрее поднимает подозрительные места на поверхность. Окончательное решение всё равно остаётся за людьми.

Защита должна ускориться

История с Anthropic Mythos и заявление Five Eyes говорят об одном и том же: кибербезопасность входит в более быстрый режим.

Слабые места можно искать чаще, глубже и быстрее. Но это преимущество не принадлежит только защитникам. Тот же класс инструментов может ускорить атаки.

Компании и госструктуры больше не могут жить в логике редких аудитов и отложенных обновлений. Проверки должны стать регулярными, исправления — быстрыми, а старые системы — приоритетной зоной риска.

ИИ не отменяет старые правила безопасности. Он делает их срочнее. Кто первым найдёт и закроет слабое место, тот получает преимущество. Кто будет ждать плановой проверки через год, может опоздать.

Читайте также:

Бренды начали продавать товары через ИИ-людей, похожих на настоящих покупателей

ИИ уверенно говорит «я прав», даже когда ошибается: учёные нашли опасное слепое пятно LLM

ИИ-кодеры оказались слишком исполнительными: представлен AgentArmor для защиты от опасных команд

Европа поняла, что зависит от США не только в обороне, но и в ИИ

США заставили Anthropic отключить новые ИИ-модели для всего мира

Новая атака FragFuse обходит защиту ИИ-агентов в 86% случаев

Споры о пузыре ИИ могут упускать главное

Ученые создали ИИ, которому нужно в 10 раз меньше данных

 ☑ Добавьте «Aramil.life» в свои источники Google ☑