Project Glasswing: как Claude Mythos находит нулевые уязвимости быстрее людей

Что появилось / что изменилось

Anthropic запустила Project Glasswing и показала Claude Mythos Preview — специализированную версию Claude для поиска уязвимостей в коде.

Главное:

• Mythos Preview за несколько недель нашёл тысячи zero‑day уязвимостей в крупных проектах: все основные ОС, все основные браузеры и другое критически важное ПО.
• Модель автономно обнаружила почти все описанные баги и сама же построила для многих из них эксплойты — без ручного управления.
• На бенчмарке CyberGym по воспроизведению уязвимостей Mythos Preview набрал 83,1%, а Claude Opus 4.6 — 66,6%. Разрыв ощутимый и подтверждён цифрами.

Конкретные кейсы, которые уже успели закрыть патчами:

• OpenBSD: Mythos нашёл уязвимость, которая прожила в коде 27 лет. Через неё можно было удалённо уронить любую машину с OpenBSD простым подключением.
• FFmpeg: обнаружена 16‑летняя ошибка в строке кода, которую автотесты проходили 5 миллионов раз и ни разу не поймали проблему.
• Linux kernel: Mythos сам собрал цепочку багов, которая позволяла поднять привилегии с обычного пользователя до полного контроля над системой.

Партнёры Anthropic уже несколько недель гоняют Mythos Preview в боевых сценариях: Cisco, AWS и Microsoft используют его для анализа собственных кодовых баз и инфраструктуры.

Как это работает

Anthropic не раскрывает архитектуру построчно, но по описанию понятно, как устроен процесс.

Claude Mythos Preview:

• анализирует большие объёмы исходного кода и конфигураций, строит гипотезы о возможных точках отказа;
• сам генерирует потенциальные сценарии эксплуатации: какие входные данные подать, как обойти проверки, как связать несколько багов в цепочку;
• прогоняет эти гипотезы в виде «виртуальных атак», пока не получает рабочий эксплойт или уверенность, что путь тупиковый.

Ключевой момент — минимум ручного управления. Mythos не просто подсвечивает подозрительные места, а идёт до конца: от «кажется, тут баг» до «вот конкретный способ его использовать».

Anthropic и партнёры используют Mythos поверх существующих пайплайнов: систем статического анализа, фуззеров, CI/CD. Модель не заменяет тесты, а ищет то, что они не видят — как в случае с той строкой FFmpeg, через которую прошли миллионы автотестов.

Что это значит для вас

Если вы:

• разрабатываете критические сервисы (банкинг, телеком, инфраструктура, IoT);
• отвечаете за безопасность продуктов или внутренних систем;
• строите AI‑сервисы, которые работают с чувствительными данными,

то Project Glasswing и Claude Mythos Preview — это про ускорение и углубление security‑аудита.

Где Mythos полезен:

• Аудит легаси‑кода: поиск старых логических багов, которые пережили десятки релизов.
• Проверка ядра и системных компонентов: драйверы, модули ядра, сетевые стеки.
• Приоритизация багов: модель не просто находит подозрительный код, а показывает, есть ли реальный эксплойт.
• Подготовка к red‑team упражнениям: генерация сценариев атак, которые потом можно воспроизвести вручную.

Где не стоит ждать чуда:

• как «магическую кнопку» для junior‑разработчиков: Mythos требует зрелого процесса безопасности и людей, которые понимают, что делать с найденными багами;
• как замену классическому security‑стеку: фуззеры, статический анализ, ручной код‑ревью всё ещё нужны.

Anthropic работает напрямую с крупными игроками: Cisco, AWS, Microsoft уже встроили Mythos в свои процессы. Для разработчиков и команд в России доступ может быть ограничен из‑за политики поставщиков и возможных геоограничений. Скорее всего, придётся заходить через партнёров за пределами РФ и использовать VPN и зарубежную инфраструктуру.

Место на рынке

Anthropic честно сравнивает Mythos Preview только с собственным флагманом Claude Opus 4.6 — и делает это через CyberGym.

Факт из цифр:

• Cybersecurity Vulnerability Reproduction (CyberGym):
  • Claude Mythos Preview — 83,1%;
  • Claude Opus 4.6 — 66,6%.

То есть Mythos ощутимо лучше воспроизводит и эксплуатирует уязвимости, чем предыдущий топ Anthropic. Это уже не просто «чуть умнее», а качественный скачок именно в security‑задачах.

AWS, Cisco и Microsoft не просто тестируют Mythos, а интегрируют его в свои процессы:

• Cisco говорит, что старые подходы к защите уже не успевают за скоростью угроз и что поставщики технологий должны «агрессивно» переходить на новые методы.
• AWS использует Mythos для анализа «критических кодовых баз» и параллельно помогает Anthropic «закалять» сам Mythos.
• Microsoft прогоняла Mythos через свой открытый бенчмарк CTI‑REALM и увидела «существенный рост» по сравнению с предыдущими моделями.

Напрямую с GPT‑4o, GPT‑5 или другими LLM‑системами Mythos в цифрах не сравнивают. Но по партнёрам и кейсам видно: Anthropic делает ставку не на универсальный ассистент, а на специализированный «security‑двигатель» для крупных экосистем.

Если вы строите продукты на базе AWS, Cisco, Microsoft или Anthropic, логичный сценарий — ждать, когда Claude Mythos Preview появится как часть их security‑сервисов. Для всех остальных это сигнал: эпоха, когда ИИ сам находит и эксплуатирует нулевые уязвимости, уже наступила — и придётся защищаться с учётом этого факта.

---

Читайте также

• Gradio Server: как подключить свой фронтенд к бэкенду Hugging Face за 50 строк кода
• «Алиса AI» переезжает в поиск Яндекса: диалоговый режим прямо над выдачей
• Три новых open-source модели в Microsoft Foundry: для речи, кода и поиска