27-річна вразливість залишалася непоміченою в TCP-стеку OpenBSD, незважаючи на перевірки коду аудиторами, запуск фазерів та репутацію операційної системи як однієї з найбільш захищених платформ. Два спеціально сформовані пакети могли призвести до збою будь-якого сервера, що працює під її управлінням. Вартість виявлення цієї конкретної вразливості в рамках однієї кампанії Anthropic становила близько 20 000 доларів США. Сам процес роботи моделі, яка виявила цю помилку, коштував менше 50 доларів.
Модель Claude Mythos Preview від Anthropic виявила цю проблему. Автономно. Жодне людське втручання не було залучене до процесу виявлення після початкового запиту.
Стрибок у можливостях, а не поступове покращення
При написанні експлойтів для Firefox 147, Mythos досяг успіху 181 раз проти 2 у Claude Opus 4.6. Це 90-кратне покращення за одне покоління. У тесті SWE-bench Pro показники склали 77,8% проти 53,4%. При відтворенні вразливостей у CyberGym – 83,1% проти 66,6%. Mythos продемонстрував 100% успішність у CTF-змаганні Cybench від Anthropic, змусивши “червону команду” перейти до виявлення реальних zero-day вразливостей як єдиного значущого методу оцінки. Згодом модель виявила тисячі zero-day вразливостей у всіх основних операційних системах та браузерах, багато з яких існували один-два десятиліття. За даними “червоної команди” Anthropic, інженери компанії без формальної підготовки з кібербезпеки ставили Mythos завдання знайти вразливості віддаленого виконання коду протягом ночі та отримували готові, робочі експлойти до ранку.
Anthropic сформувала Project Glasswing – оборонну коаліцію з 12 партнерів, включаючи CrowdStrike, Cisco, Palo Alto Networks, Microsoft, AWS, Apple та Linux Foundation, за підтримки 100 мільйонів доларів США у вигляді кредитних коштів та 4 мільйонів доларів у вигляді грантів для проєктів з відкритим кодом. Доступ до системи також отримали понад 40 додаткових організацій, які розробляють або підтримують критично важливу програмну інфраструктуру. Партнери протягом кількох тижнів тестували Mythos на власній інфраструктурі. Anthropic зобов’язалася опублікувати звіт про виявлені результати “протягом 90 днів”, орієнтовно на початку липня 2026 року.
Директори з безпеки отримали оголошення, але не план дій
«Я працюю в цій галузі 27 років, — заявив SVP і директор з безпеки та довіри Cisco Ентоні Грієко в ексклюзивному інтерв’ю VentureBeat на RSAC 2026. — Я ніколи не був настільки оптимістичним щодо того, що ми можемо змінити в галузі безпеки, завдяки такій швидкості. Це також трохи лякає, тому що ми рухаємося надзвичайно швидко. Лякає й те, що наші супротивники також мають такі можливості, тому, відверто кажучи, ми повинні рухатися так само швидко».
Директори з безпеки ознайомилися з цією інформацією в п’ятнадцяти різних варіаціях цього тижня, включаючи ексклюзивне інтерв’ю VentureBeat з Ньютоном Ченгом з Anthropic. Один із широко розповсюджених дописів у X, що узагальнював результати дослідження Mythos, зазначав, що модель зламала криптографічні бібліотеки, проникла у виробничий монітор віртуальної машини та надала інженерам без жодної підготовки з безпеки робочі експлойти протягом ночі. Проте, що залишилося без відповіді в цьому висвітленні: де саме проходить межа виявлення для вже застосовуваних методів, і що слід змінити до липня?
Сім класів вразливостей, що демонструють межу можливостей кожного методу виявлення
-
OpenBSD TCP SACK, 27 років. Два спеціально сформовані пакети викликають збій будь-якого сервера. SAST (статичний аналіз коду), фазери та аудитори не виявили логічної помилки, яка вимагала семантичного розуміння взаємодії TCP-опцій за умов протидії. Вартість кампанії – близько 20 000 доларів США. Anthropic зазначає, що цифра 50 доларів за запуск відображає знання про помилку постфактум.
-
FFmpeg H.264 codec, 16 років. Фазери пройшли вразливим шляхом коду 5 мільйонів разів, але, за даними Anthropic, так і не змогли спровокувати збій. Mythos виявив її, аналізуючи семантику коду. Вартість кампанії – близько 10 000 доларів США.
-
FreeBSD NFS remote code execution, CVE-2026-4747, 17 років. Неавторизований доступ до root з Інтернету, за оцінкою Anthropic та незалежним відтворенням. Mythos самостійно створив ROP-ланцюг з 20 гаджетів, розділених між кількома пакетами.
-
Підвищення привілеїв у ядрі Linux. Mythos об’єднав дві-чотири вразливості низької критичності для досягнення повного підвищення локальних привілеїв шляхом використання умов гонки (race conditions) та обходу KASLR (Kernel ASLR). Річард Могулл з CSA зазначив, що Mythos не зміг досягти віддаленого виконання коду в ядрі, але успішно спрацював локально. Жоден автоматизований інструмент на сьогодні не здатен виявляти такі ланцюжки вразливостей.
-
Zero-day вразливості в браузерах у всіх основних браузерах. Виявлено тисячі. Деякі потребували співпраці людини та моделі. В одному з випадків Mythos об’єднав чотири вразливості для створення JIT heap spray, що дозволив вийти з пісочниць рендерингу та операційної системи. Firefox 147: 181 робочий експлойт проти двох у Opus 4.6.
-
Вразливості в криптографічних бібліотеках (TLS, AES-GCM, SSH). Реалізаційні помилки, що дозволяють підробку сертифікатів або розшифровку зашифрованих комунікацій, за даними блогу “червоної команди” Anthropic та Help Net Security. Критична вразливість обходу сертифікатів у бібліотеці Botan була розкрита того ж дня, що й оголошення про Glasswing. Це помилки в коді, який реалізує математичні алгоритми, а не атаки на самі алгоритми.
-
Витік з віртуального монітора машини (VMM) з гостьової системи на хост. Пошкодження пам’яті з гостьової системи на хост у виробничому VMM – технології, яка ізолює дані хмарних навантажень одне від одного. Архітектури хмарної безпеки передбачають збереження ізоляції навантажень. Це відкриття руйнує це припущення.
Ніколас Карліні під час брифінгу Anthropic щодо запуску зазначив: «За останні кілька тижнів я знайшов більше помилок, ніж за все своє попереднє життя разом узяте».
Рекомендована матриця від VentureBeat
|
Клас вразливості |
Чому поточні методи її пропускають |
Що робить Mythos |
Дії директора з безпеки |
|
Логіка ядра ОС (OpenBSD 27 років, Linux 2-4 ланки) |
SAST не має семантичного аналізу. Фазери пропускають логічні помилки. Тестування на проникнення обмежене часом. Баунті-програми виключають ядро. |
Об’єднує 2-4 вразливості низької критичності для підвищення локальних привілеїв. Вартість кампанії ~20 000 доларів США. |
Додати до запитів на тестування на проникнення вимогу щодо аналізу ядра за допомогою ШІ. Розширити сферу дії баунті-програм. Запитувати у постачальників ОС результати Glasswing до липня. Переоцінювати кластерні знахідки щодо можливості їх об’єднання. |
|
Медіакодеки (FFmpeg 16 років H.264) |
SAST не позначив. Фазери досягли коду 5 мільйонів разів, жодного разу не викликавши помилку. |
Аналізує семантику, виходячи за межі brute-force. Вартість кампанії ~10 000 доларів США. |
Провести інвентаризацію FFmpeg, libwebp, ImageMagick, libpng. Припинити вважати покриття фазерами показником безпеки. Відстежувати CVE для кодеків з Glasswing з липня. |
|
RCE мережевого стеку (FreeBSD 17 років, CVE-2026-4747) |
DAST (динамічний аналіз) обмежений на рівні протоколу. Тестування на проникнення не охоплює NFS. |
Повністю автономне об’єднання для отримання root без автентифікації. ROP-ланцюг з 20 гаджетів. |
Застосувати патч для CVE-2026-4747 негайно. Провести інвентаризацію служб NFS/SMB/RPC. Додати фазинг протоколів до циклу 2026 року. |
|
Об’єднання кількох вразливостей (2-4 послідовно, локально) |
Жодні інструменти не створюють ланцюжки. Обмеження часу для тестувальників. Оцінка CVSS ізольовано. |
Автономне локальне об’єднання через умови гонки + обхід KASLR. |
Вимагати аналіз ланцюжків за допомогою ШІ в методології тестування на проникнення. Створити систему оцінки можливості об’єднання. Бюджетувати ШІ-“червоні команди” на 2026 рік. |
|
Zero-day в браузерах (тисячі, 181 експлойт для Firefox) |
Баунті + безперервний фазинг не виявили тисячі. Деякі вимагали співпраці людини та моделі. |
90-кратне перевищення показників Opus 4.6. Об’єднано 4 вразливості для JIT heap spray, що вийшов за межі рендерингу + пісочниці ОС. |
Скоротити SLA на виправлення до 72 годин для критичних вразливостей. Підготувати конвеєр для циклу липня. Тиснути на постачальників щодо термінів Glasswing. |
|
Криптографічні бібліотеки (TLS, AES-GCM, SSH, обхід Botan) |
SAST обмежений на логіку криптографії. Тестувальники рідко перевіряють глибину криптографії. Формальна верифікація не є стандартом. |
Виявлено підробку сертифікатів + помилки розшифрування в перевірених бібліотеках. |
Провести аудит усіх версій криптографічних бібліотек зараз. Відстежувати CVE для криптографії з Glasswing з липня. Прискорити міграцію на PQC. |
|
VMM / гіпервізор (пошкодження пам’яті гостьової системи на хост) |
Хмарна безпека покладається на ізоляцію. Мало тестів на проникнення націлені на гіпервізор. Баунті рідко охоплюють VMM. |
Витік з гостьової системи на хост у виробничому VMM. |
Провести інвентаризацію версій гіпервізора/VMM. Запросити результати Glasswing у хмарних провайдерів. Переоцінити припущення щодо ізоляції між різними орендарями. |
Зловмисники працюють швидше. Захисники виправляють помилки раз на рік.
Звіт CrowdStrike 2026 Global Threat Report документує середній час розгортання кіберзлочинцями становить 29 хвилин, що на 65% швидше, ніж у 2024 році, з 89% зростанням атак, доповнених ШІ, порівняно з минулим роком. Технічний директор CrowdStrike Еліа Зайцев чітко описав операційну реальність в ексклюзивному інтерв’ю VentureBeat: «Зловмисники, які використовують агентний ШІ, можуть виконувати ці атаки з такою великою швидкістю, що традиційний людський процес: перегляд сповіщення, аналіз, розслідування протягом 15-20 хвилин, вжиття заходів через годину, день, тиждень — є недостатнім», — сказав Зайцев. Кампанія Mythos вартістю 20 000 доларів, яка триває години, замінює місяці зусиль державних дослідницьких груп.
Генеральний директор CrowdStrike Джордж Куртц того ж дня, що й оголошення про Glasswing, підкреслив тиск щодо термінів у LinkedIn: «ШІ створює найбільший драйвер попиту на безпеку з моменту переходу підприємств до хмари», — написав Куртц. Регуляторний годинник також додає тиску. Наступний етап запровадження EU AI Act набуває чинності 2 серпня 2026 року, встановлюючи вимоги щодо автоматизованих аудиторських слідів, кібербезпеки для кожної системи ШІ високого ризику, зобов’язання щодо звітування про інциденти та штрафи до 3% від глобального доходу. Директори з безпеки зіткнуться з двома хвилями: у липні — цикл розкриття інформації Glasswing, у серпні — термін дотримання нормативних вимог.
Майк Рімер, CISО з питань польових операцій в Ivanti та 25-річний ветеран ВПС США, який тісно співпрацює з федеральними агентствами з кібербезпеки, розповів VentureBeat про те, що він чує від уряду: «Зловмисники займаються реверс-інжинірингом патчів, і швидкість, з якою вони це роблять, значно зросла завдяки ШІ», — сказав Рімер. «Вони можуть реверс-інжинірити патч протягом 72 годин. Отже, якщо я випускаю патч, а клієнт не встановлює його протягом 72 годин після випуску, він стає вразливим до експлуатації». Рімер був відвертим щодо того, де це залишає галузь: «Вони значно випереджають нас, захисників».
Грієко підтвердив іншу сторону цієї ситуації на RSAC 2026: «Якщо ви поговорите з операційною командою та багатьма нашими клієнтами, вони встановлюють патчі лише раз на рік», — сказав Грієко VentureBeat. «І, відверто кажучи, навіть за найкращих обставин цього недостатньо швидко».
Могулл з CSA наводить структурний аргумент, що захисники мають довгострокову перевагу: виправте вразливість один раз, і кожне розгортання отримає вигоду. Але перехідний період, коли зловмисники реверс-інжинірять патчі за 72 години, а захисники встановлюють їх раз на рік, грає на користь наступу.
Mythos — не єдина модель, яка знаходить такі помилки. Дослідники з AISLE, стартапу в галузі кібербезпеки на базі ШІ, протестували демонстраційні вразливості Anthropic на невеликих моделях з відкритим кодом і виявили, що вісім з восьми виявили експлойт FreeBSD. AISLE стверджує, що одна модель мала лише 3,6 мільярда параметрів і коштувала 11 центів за мільйон токенів, а відкрита модель з 5,1 мільярда параметрів відновила основний ланцюг аналізу 27-річної вразливості OpenBSD. Висновок AISLE: «Захист у сфері кібербезпеки на базі ШІ — це система, а не модель». Це робить межу виявлення структурною проблемою, а не специфічною для Mythos. Дешеві моделі знаходять ті ж помилки. Липневий термін стає коротшим, а не довшим.
За даними блогу “червоної команди” Anthropic, понад 99% вразливостей, виявлених Mythos, ще не виправлено. Публічний звіт Glasswing вийде на початку липня 2026 року. Він спричинить масштабний цикл оновлень операційних систем, браузерів, криптографічних бібліотек та основного інфраструктурного програмного забезпечення. Директори з безпеки, які не розширили свої конвеєри для встановлення патчів, не переглянули сфери дії своїх баунті-програм і не створили системи оцінки можливості об’єднання ланцюжків до цього часу, зустрінуть цю хвилю неготовими. Липень – це не подія розкриття інформації. Це — цунамі патчів.
Що сказати раді директорів
Кожен директор з безпеки каже раді директорів: «Ми все перевірили». Меррітт Беар, CSO в Enkrypt AI і колишній заступник CISO в AWS, заявила VentureBeat, що це твердження не витримує перевірки Mythos без уточнення.
«Те, що керівники з безпеки мають на увазі насправді: ми вичерпно перевірили те, що наші інструменти вміють бачити», — сказала Беар в ексклюзивному інтерв’ю VentureBeat. «Це зовсім інша заява».
Беар запропонувала переформулювати залишковий ризик для рад директорів, розділивши його на три рівні: відомі-відомі (класи вразливостей, які надійно виявляє ваш стек), відомі-невідомі (класи, які, як ви знаєте, існують, але ваші інструменти охоплюють лише частково, наприклад, логічні помилки зі станом і плутанина з межами автентифікації) та невідомі-невідомі (вразливості, які виникають внаслідок композиції, коли безпечні компоненти взаємодіють небезпечними способами). «Саме сюди потрапляє Mythos», — зазначила Беар.
Рекомендована Беар заява для ради директорів: «Ми маємо високу впевненість у виявленні окремих, відомих класів вразливостей. Наш залишковий ризик сконцентрований у міжфункціональних, багатоетапних та композиційних помилках, які уникають одноточкових сканерів. Ми активно інвестуємо в можливості, які підвищують цей поріг виявлення».
Щодо можливості об’єднання ланцюжків, Беар була такою ж прямою: «Можливість об’єднання ланцюжків повинна стати окремим, першочерговим вимірним показником, — сказала вона. — CVSS був розроблений для оцінки атомарних вразливостей. Mythos демонструє, що ризик все більше набуває графової форми, а не точкової». Беар окреслила три зміни, які повинні зробити програми безпеки: від оцінки критичності до шляхів експлуатації, від списків вразливостей до графів вразливостей, що моделюють взаємозв’язки між ідентифікацією, потоками даних і дозволами, та від SLA з виправлення до переривання шляху, де виправлення будь-якого вузла, що розриває ланцюжок, має пріоритет над виправленням найвищого окремого CVSS.
«Mythos не просто знаходить пропущені помилки, — зазначила Беар. — Він спростовує припущення про незалежність вразливостей. Програми безпеки, які не адаптуються, від мислення про охоплення до мислення про взаємодію, продовжуватимуть звітувати про зелені панелі інструментів, залишаючись при цьому на червоних шляхах атак».
VentureBeat оновить цю статтю додатковими операційними деталями від засновників Glasswing після завершення інтерв’ю.
Як захиститися (Порада ІТ-Блогу): Для зменшення ризику від подібних складних вразливостей, переконайтеся, що ви регулярно застосовуєте оновлення безпеки не лише до операційної системи, але й до всіх критично важливих програмних компонентів, таких як браузери, медіа-кодеки та мережеві сервіси. Також, розглядайте можливість впровадження поглибленого моніторингу безпеки, який може виявляти аномальну поведінку системи, а не лише відомі сигнатури.
Дізнатися більше на: venturebeat.com