ИИ, который охотится на собственные баги

В апреле 2026 года Anthropic показала модель Claude Mythos, которая исключительно хорошо делает одну вещь: находит дыры в безопасности, о которых никто не знал. Не в демо из лаборатории — в реальном софте, на котором работает мир. Mythos нашёл тысячи уязвимостей нулевого дня во всех основных ОС и браузерах, включая 27-летний баг в OpenBSD и 16-летнюю дыру в FFmpeg, мимо которой все ходили больше десяти лет.

«Нулевой день» — это уязвимость, о которой те, кто мог бы её закрыть, ещё не знают: ноль дней на подготовку. Найти такую — тяжёлая, узкая работа. Mythos находил их пачками и в более чем 83% случаев писал рабочий эксплойт с первой попытки. Anthropic решила, что выпускать это слишком опасно, и дала ранний доступ узкой группе — Microsoft, Google, Apple, AWS, Cisco, Nvidia, JPMorgan, Linux Foundation — под названием Project Glasswing.

Именно это решение и есть вся суть. Разберём, почему.

Один и тот же навык защищает и атакует

Найти уязвимость и проэксплуатировать уязвимость — это один навык, направленный в противоположные стороны. Работа «где этот софт слаб?» одинакова, чините вы его или вламываетесь внутрь. Поэтому инструмент, блестящий в первом, бесплатно блестящ и во втором. Не бывает версии «отлично находит баги», которая не означала бы «отлично находит баги для того, в чьих руках находится».

Вот почему Mythos нельзя было просто выложить. Публичный инструмент, настолько хороший в поиске нулевых дней, вручил бы каждому атакующему на земле ту же суперсилу, что и защитникам. Ответ Anthropic — отдать его тем, кто поддерживает крупнейшие системы мира, чтобы они нашли и закрыли свои дыры первыми — это ставка на то, что защитники, идущие первыми, бьют атакующих, идущих вообще. Ставка разумная. Но не уютная.

Окно только что сократилось

Безопасность всегда жила по часам. Баг существует; кто-то его находит; гонка в том, выйдет ли заплатка раньше, чем расползётся эксплойт. Десятилетиями это окно измерялось неделями или месяцами — достаточно времени, чтобы патч раскатился, чтобы системы обновились.

ИИ это окно схлопывает. Когда модель проходит путь от «нашёл» до «рабочий эксплойт» за время, которое нужно, чтобы прочитать это предложение, уютные недели исчезают. Защитник, который ждёт ежемесячного цикла патчей, теперь работает по часам атакующего. Вот реальный операционный сдвиг за заголовком: не в том, что баги находят, а в том, что разрыв между находкой и применением в оружии стремится к нулю.

Что это значит, если вы выпускаете софт

Доступа к Glasswing у вас нет, но урок всё равно до вас доходит. Старое допущение — «наш незаметный баг, наверное, никогда не найдут» — мертво. Незаметность была защитой только потому, что поиск багов был дорогим. Сделайте поиск дешёвым и автоматическим — и в зону охвата попадает каждая дыра, включая 27-летнюю, на которую никто никогда не смотрел.

Так что ход — самый невзрачный. Патчите быстро, потому что окно между публикацией дыры и её эксплуатацией сокращается. Держите зависимости свежими, потому что 16-летняя дыра в какой-то библиотеке, которую вы подключили, — это ровно то, что вытаскивают такие инструменты. И направьте такой же инструмент на свой код раньше, чем это сделает кто-то другой: самый дешёвый нулевой день — тот, что нашли вы сами.

Итог

Claude Mythos — самая ясная картина двойного лезвия ИИ: настоящий подарок защитникам и настоящий подарок атакующим, в одной модели, потому что это всегда был один и тот же навык. Технология не выбирает сторону. Сторону выбирает скорость — и прямо сейчас она сжимает окно защитника с недель до часов.

Это нельзя засунуть обратно в коробку, и нельзя отписаться от мира, который оно создаёт. Единственная версия «безопасно», которая выживает в мире автоматической охоты на баги, — та, где вы охотитесь на свои баги первыми. Кто находит дыру первым, тот и решает, что будет дальше. Сделайте так, чтобы как можно чаще это были вы.