В мире, где zero-day уязвимости продают за семизначные суммы, а каждая минута простоя сервера стоит состояния, Anthropic втихую вскормила зверя, способного перевернуть эту игру. Claude Mythos — не просто очередной чат-бот с претензией на сознание, а хладнокровный хакер, который нашёл баг в OpenBSD, дремавший 27 лет, и в 83% случаев создавал рабочий эксплойт с первой же попытки. Теперь эту модель запирают на семь замков, а рынок лихорадит: одни подсчитывают будущие убытки, другие — долю в новом золотом руднике.
Почему создатели боятся собственного детища, кто из избранных уже припал к источнику и как пересчитать свой портфель, чтобы не остаться в дураках — разбираемся без розовых соплей, зато с цифрами и скепсисом.
Что такое Claude Mythos и почему его заперли на ключ?
Claude Mythos — последняя (и самая опасная) разработка Anthropic, натренированная не просто помогать писать код, а автономно искать уязвимости и генерировать готовые эксплойты. Никаких теоретических рекомендаций — модель выдаёт конкретный код атаки, проверенный на реальных окружениях. Если её предшественник Claude Opus спотыкался на сложных цепочках, Mythos выдал проходной балл 83% успеха с первого раза на бенчмарках, имитирующих работу белых хакеров. Для сравнения: опытный пентестер-человек редко превышает планку 60–70% в незнакомой среде.
Закрытость модели — не жест «мы боимся, что нас запретят», а продуманная стратегия. Anthropic заручилась негласным одобрением вашингтонских регуляторов и… тут же спрятала Mythos от публики. Ты можешь сколько угодно писать запросы в поддержку — тебе не нальют. Потому что настоящая ценность сейчас не в том, чтобы продать лицензию каждому стартапу, а в том, чтобы стать единственным поставщиком «красной кнопки» для избранных.
Project Glasswing: тайный клуб, в который позвали избранных
Официально программа называется Anthropic Project Glasswing, и её суть — закрытая коллаборация с HackerOne, несколькими Fortune 500 и правительственными агентствами, имена которых не раскрываются. Участникам дали ранний доступ к Claude Mythos в обмен на данные о реальных уязвимостях и обратную связь. Такой краудсорсинг наоборот: не толпа проверяет продукт, а продукт проверяет толпу (и заодно её сети).
Идея проста: сначала дать инструмент тем, кто «на светлой стороне», протестировать на живых системах, а потом уже решать, стоит ли выпускать джина из бутылки. Пока же рынок незаметно разделился на тех, кто внутри клуба, и тех, кто вынужден ждать утечек. И нет, инвайта на Glasswing не будет — придётся довольствоваться слухами и отчётами The Washington Post.
27 лет под носом: как OpenBSD стал показательной казнью
Отдельного поклона заслуживает демонстрационный удар по OpenBSD. Уязвимость, пролежавшая в кодовой базе с 1998 года, была найдена ИИ за несколько часов. Речь идёт о баге в подсистеме аутентификации, который позволял локальное повышение привилегий. Открытие войдёт в учебники: система, славящаяся своей паранойей и аудитом, оказалась дырявой на 27 лет. И нашла эту дыру машина, которой плевать на репутацию и авторитеты.
Сравнительные бенчмарки не оставляют сомнений в смене эпох. GPT-4 и Claude Opus показывали жалкие 12–18% успешных атак в тех же сценариях — то есть они скорее имитировали хакера, чем реально ломали. Mythos же находит zero-day уязвимости не хуже, а порой и лучше высококлассного ресечера. И делает это не за месяц, а за часы. Вот и считай экономику.
Этика, страх и Уолл-стрит: кто нажал на красную кнопку
Реакция не заставила себя ждать. Белый дом провёл экстренную встречу с представителями ИИ-компаний, европейский AI Safety Institute выпустил меморандум о «недопустимости распространения автономных кибер-инструментов», а Илон Маск привычно взорвал твиттер напоминанием о «призыве остановить разработку». Но гораздо интереснее повели себя не политики, а биржевые терминалы.
Акции Palo Alto Networks взлетели на 4,2%, CrowdStrike — на 3,8%, SentinelOne — на 5,1% всего за день после новостей. Капитализация рынка ИИ для кибербезопасности разом прибавила около $8 млрд. Логика проста: раз появился супер-хакер, значит, всем резко понадобится супер-защита. А страховые компании уже начали пересчитывать коэффициенты: если раньше твой полис покрывал «атаку средней сложности», то теперь появится пункт «атака ИИ» с отдельным чеком.
Экономика робота-хакера: кто потеряет миллиарды, а кто снимет кассу
Давай займёмся ментальной арифметикой. Средняя команда пентестеров из трёх человек обходится бизнесу в $450–600 тыс. в год и способна проверить несколько десятков систем. Claude Mythos (если его когда-нибудь лицензируют) по слухам будет стоить от $2 млн в год, но способен просканировать тысячи систем и найти такие дыры, которые живые специалисты пропустят. Чистая математика подсказывает: корпорации начнут сокращать штат этичных хакеров и закупать ИИ-пентест по подписке. А следом упадут и цены на bug bounty — зачем платить внешним охотникам, если внутренний робот нашёл баг раньше?
Киберстрахование ждёт тектонический сдвиг. Если уязвимости будут вскрываться пачками, убытки страховщиков возрастут, и они либо поднимут премии до небес, либо введут исключения для атак с использованием ИИ. Уже слышны разговоры о том, что Lloyd’s of London рассматривает отдельный «искусственный риск». А на пепелище старого рынка вырастут новые AI-native стартапы: те, кто обучает модели защиты на атаках Mythos, снимут кассу. Гонка вооружений перешла в плоскость нюрал-процессоров.
Copilot, CodeQL, SentinelOne: как старый свет пытается догнать робота-хакера
Чтобы осознать масштаб прорыва, сравним Mythos с текущими инструментами. GitHub Copilot, CodeQL, Semgrep — отличные помощники, но они ищут паттерны, а не создают атаку с нуля. Copilot скорее подскажет фрагмент кода, чем эксплойт к 27-летней дыре. SentinelOne Singularity XDR и Microsoft Security Copilot тоже остаются реактивными: они анализируют события, а не предугадывают новые векторы.
Claude Mythos играет в другой лиге: он не ищет сигнатуры, а воспроизводит логику злоумышленника. Фактически это автономный красный тим в одной коробке. И в то время как индустрия ИИ для кибербезопасности продолжает выпускать «умный поиск», Anthropic вырастила цифрового двойника хакера. Разница примерно как между книгой по кунг-фу и голодным тигром в комнате.
Что делать завтра, чтобы не остаться с дырой в системе и в бюджете
Сидеть сложа руки в такой ситуации — верный способ стать чьим-то кейсом. Инвесторам пора пересмотреть вес компаний, создающих AI-native безопасность: от Darktrace и Vectra AI до стартапов вроде HiddenLayer. Если Mythos действительно сменит парадигму, классические антивирусы начнут выглядеть как пугало в век дронов. CISO стоит уже сейчас заложить в бюджет 2027 года аудит на сценарий «атаки ИИ», а CEO — задать своему ИТ-директору простой вопрос: «Что будет, если наш главный конкурент получит доступ к Mythos раньше нас?». Ответ может оказаться дороже всей digital трансформации.
Проверьте свои активы и стратегию: если бы Mythos оказался у конкурентов завтра, где вы треснете? Инвесторам — пересмотреть вес компаний, строящих AI-native безопасность; CISO — запросить аудит с допущением «атаки робота»; всем — подписаться на экстренные обновления нашего портала, пока рынок не переписал правила.
Материал носит информационный характер и не является индивидуальной инвестиционной рекомендацией.
Мнение редактора
Ну-с, коллеги, филин съел мышь. История с Mythos — идеальный пример того, как хайп упаковывают в биржевую обёртку. Пока этики истерили в твиттере, кто-то уже сделал +8 млрд капитализации на одном лишь страхе. Парадокс: монстра заперли в подвал, но прибыль от его дыхания уже сосчитали. Прогноз: через год каждая уважающая себя кибер-контора будет клясться, что у них «свой Mythos», а мы напишем статью про bubble AI-sec. И да, деньги не пахнут — даже если они пропитаны запахом горелой изоляции утекшего дата-центра.
Комментарии (0)
Комментариев пока нет. Будьте первым!