← На главную

Anthropic запустила Project Glasswing: 50 партнёров нашли 10 тыс. уязвимостей

22.05.2026 19:31 · hackernews

В прошлом месяце Anthropic запустила Project Glasswing — коллаборацию с партнёрами для защиты самого критичного софта, пока AI-модели не начали использовать против него. За месяц около 50 партнёров с помощью Claude Mythos Preview нашли больше десяти тысяч уязвимостей высокой и критической степени серьёзности. Раньше прогресс в безопасности софта упирался в то, как быстро находят баги. Теперь он упирается в то, как быстро их проверяют, раскрывают и патчат.

Cloudflare нашла 2000 багов (400 — высокой или критической серьёзности) в своих критических системах, причём уровень ложных срабатываний оказался лучше, чем у людей-тестировщиков. Британский AI Security Institute отчитался, что Mythos Preview — первая модель, решившая оба их киберполигона (симуляции многошаговых атак) целиком. Mozilla нашла и починила 271 уязвимость в Firefox 150 — в десять раз больше, чем в Firefox 148 с Claude Opus 4.6. Независимая платформа XBOW назвала модель «значительным шагом вперёд» с «абсолютно беспрецедентной точностью». Palo Alto Networks выпустила в пять раз больше патчей, чем обычно, Microsoft сообщила, что количество новых патчей будет «продолжать расти», а Oracle находит и чинит уязвимости в разы быстрее прежнего. В одном из банков-партнёров Mythos Preview помог предотвратить мошеннический перевод на $1,5 млн после взлома почты клиента.

Anthropic сканировала более 1000 open-source проектов, лежащих в основе интернета. Модель нашла 23 019 потенциальных уязвимостей, из которых 6202 оценены как высокие или критические. Независимые фирмы подтвердили 90,6% из первой выборки как реальные, а 62,4% — именно высокой или критической серьёзности. Один из найденных багов — в криптобиблиотеке wolfSSL (CVE-2026-5194). Mythos Preview сконструировала эксплойт, позволяющий подделать сертификаты для фейкового сайта банка или почтового провайдера.

Главная проблема — не найти баги, а пропатчить их. В среднем патч для критической уязвимости занимает две недели. Из 530 подтверждённых высоких/критических багов, о которых сообщили мейнтейнерам, запатчено только 75 — отчасти из-за 90-дневного окна раскрытия, отчасти из-за перегруженности самих мейнтейнеров, которые просили замедлить темп.

Для помощи разработчикам Anthropic выпустила Claude Security (публичная бета для корпоративных клиентов). За три недели с его помощью пропатчили уже 2100 уязвимостей в собственном коде компаний. Также запущен Cyber Verification Program, снимающий часть защитных ограничений для легитимных пентестеров. Для квалифицированных клиентов доступны навыки (skills) для сканирования, харнес для маппинга кодовой базы и билдер threat-моделей. Cisco открыла свой Foundry Security Spec. Anthropic заключила партнёрство с Open Source Security Foundation (Alpha-Omega), чтобы помогать мейнтейнерам обрабатывать поток баг-репортов.

Mythos Preview пока не выпущен публично, так как у Anthropic нет достаточных защит от злоупотреблений. Компания намерена сперва разработать более сильные механизмы безопасности. В перспективе Project Glasswing будет расширен на новых партнёров, включая правительства США и союзников. Цель — перейти к миру, где критический код защищён намного лучше, а взломов стало значительно меньше.

Читать оригинал →