Anthropic утроит масштаб Project Glasswing: ИИ уже нашёл свыше 10 000 критических багов в инфраструктурном софте

Что нового

Anthropic резко расширяет программу кибербезопасности Project Glasswing, которая использует специализированную ИИ‑модель Claude Mythos Preview для поиска уязвимостей в критическом ПО.

Ключевые изменения:

• Число участников вырастет примерно с 50 до 200 организаций — рост более чем втрое.
• За первые недели работы участники нашли более 10 000 уязвимостей высокой и критической опасности.
• В новую волну попадут около 150 дополнительных организаций из более чем 15 стран.
• В программе будут компании и НКО из сфер энергетики, водоснабжения, здравоохранения, связи и аппаратного обеспечения.
• Anthropic запустила отдельный продукт Claude Security на базе публичных моделей Claude для автоматического анализа кода и подготовки патчей.
• Anthropic уже раздаёт доверенным командам внутренние инструменты из Project Glasswing, чтобы ускорить проверку и исправление найденных багов.

Anthropic также делает публичный прогноз: в ближайшие 6–12 месяцев ИИ‑системы уровня Claude Mythos, способные массово искать уязвимости, появятся и у других разработчиков. Часть из них может выйти без достаточных защит от злоупотреблений, что повысит риск роста кибератак.

Как это работает

Project Glasswing

Project Glasswing — это закрытая программа, в которой Anthropic работает вместе с:

• поставщиками критической инфраструктуры;
• разработчиками открытого ПО;
• государственными структурами.

Эти участники получают доступ к Claude Mythos Preview — специализированной версии Claude, заточенной под кибербезопасность:

• анализ больших кодовых баз с фокусом на уязвимостях;
• поиск уязвимостей высокой и критической опасности;
• помощь в написании патчей и модернизации легаси‑систем.

Модель не просто подсвечивает подозрительные фрагменты. Команды уже используют её для:

• генерации исправлений (патчей);
• тестирования безопасности после изменений;
• моделирования атак на свои системы;
• обновления и «расчистки» устаревшего кода, который сложно поддерживать вручную.

Claude Security

Отдельно Anthropic представила Claude Security — продукт на базе публичных моделей семейства Claude (не Mythos). Он работает как «ИИ‑ассистент по безопасности кода»:

• автоматически просматривает исходный код;
• ищет потенциальные уязвимости и ошибки безопасности;
• предлагает варианты исправлений и помогает подготовить патчи.

Главная идея Anthropic — сдвинуть фокус с «найти баг» на полный цикл:

1. обнаружить уязвимость;
2. проверить, что она реальная, а не ложное срабатывание;
3. подготовить и протестировать исправление;
4. быстро развернуть обновление у всех пользователей.

ИИ‑инструменты из Project Glasswing и Claude Security как раз закрывают эти этапы.

Что это значит для вас

Если вы отвечаете за безопасность или инфраструктуру

Для команд кибербезопасности и SRE/DevOps появляются новые сценарии:

• Массовый аудит кода. Claude Mythos Preview и Claude Security помогают прогнать большие монорепозитории и легаси‑системы в поисках уязвимостей, которые руками искали бы месяцами.
• Быстрое реагирование. Если ИИ находит тысячи багов, вы можете использовать те же инструменты для приоритизации, проверки и подготовки патчей, а не захлёбываться в отчётах.
• Моделирование атак. Участники Project Glasswing уже используют Claude Mythos Preview для симуляции атак на свои системы. Это полезно для threat modeling и подготовки к реальным инцидентам.
• Обслуживание критических систем. Для инфраструктурных игроков (энергетика, связь, медтех, водоснабжение) ИИ помогает разгрести старый код, который опасно трогать без глубокого анализа.

Если ваша компания обслуживает продукты, от которых зависят государственные сервисы, крупные предприятия или миллионы пользователей, это уже не «интересная опция», а вопрос выживания. Anthropic оценивает, что для большинства новых участников серьёзный взлом может затронуть более 100 миллионов человек и повлиять на национальную и международную безопасность.

Если вы разрабатываете открытое ПО

Anthropic планирует расширять доступ к ИИ‑инструментам безопасности для:

• мейнтейнеров open source‑проектов;
• команд, поддерживающих библиотеки и фреймворки, от которых зависятся другие.

Практически это значит:

• вы сможете быстрее находить и закрывать уязвимости, прежде чем ими воспользуются атакующие;
• упростится сопровождение старых модулей, которые все используют, но никто не хочет трогать.

Если вы обычный разработчик

Даже без доступа к Project Glasswing вы можете использовать Claude Security (если он доступен в вашем регионе) как:

• дополнительный слой code review для безопасности;
• помощника при поиске проблем в легаси‑коде;
• генератор черновиков патчей и тестов.

Где это особенно полезно:

• backend‑сервисы, работающие с персональными данными и платежами;
• микросервисы с большим количеством интеграций и сложными правами доступа;
• проекты, где нет выделенной команды безопасности.

Где не стоит полагаться только на ИИ:

• системы с требованиями к формальной верификации безопасности;
• компоненты, где одна ошибка может привести к гибели людей или тяжёлым авариям;
• юридически критичные сценарии, где вы обязаны проводить независимый аудит.

В этих случаях ИИ — это ускоритель и помощник, но не замена экспертной команде и независимым проверкам.

Доступ из России

Anthropic официально не ориентирует свои продукты на российский рынок. Для доступа к Claude Security или другим продуктам Anthropic часто требуется аккаунт в поддерживаемых странах. На практике это может означать необходимость VPN и зарубежной платёжной инфраструктуры. Юридические и комплаенс‑риски в этом случае каждая компания должна оценивать отдельно.

Место на рынке

Anthropic делает ставку на связку «специализированный ИИ + инфраструктурные партнёры»:

• Claude Mythos Preview — не публичный продукт, а инструмент для ограниченного круга организаций, которые обслуживают критическую инфраструктуру и массовые сервисы.
• Claude Security — уже продукт для более широкого круга разработчиков и команд безопасности.

С прямыми конкурентами наподобие GitHub Copilot, CodeWhisperer или других ИИ‑ассистентов по коду у Project Glasswing есть несколько отличий по подходу:

• фокус на критической инфраструктуре и системах, от которых зависят десятки и сотни миллионов людей;
• ориентация не только на поиск багов, но и на масштабируемое исправление и развёртывание патчей;
• работа в тесном партнёрстве с государственными структурами и поставщиками инфраструктуры.

Anthropic прямо говорит: через 6–12 месяцев мощности по автоматическому поиску уязвимостей уровня Claude Mythos станут обычным инструментом не только у защитников, но и у потенциальных атакующих. Некоторые ИИ‑системы могут выйти без ограничений по использованию в кибератаках.

Из этого Anthropic делает практический вывод: ключевым фактором безопасности станет скорость адаптации защитников. Не только умение найти баг, но и умение быстро:

• подтвердить, что уязвимость реальна;
• исправить её без побочных эффектов;
• распространить обновление до того, как эксплойт уйдёт «в поле».

Проект Glasswing и Claude Security — это ставка Anthropic на то, что защитники смогут использовать ИИ не хуже, чем атакующие, и успеют перестроить процессы безопасности под новый масштаб угроз.

---

Читайте также

• Datasette запустил MicroPython-песочницу на WebAssembly: первый релиз datasette-agent-micropython
• Microsoft Defender for Cloud научился работать с «закалёнными» контейнерными образами. Зачем это DevOps и безопасности
• Sovereign‑ИИ под контролем: Foundry Local теперь работает на Azure Local