Claude Mythos скоро выйдет для всех: что это значит для кибербезопасности

28 мая Anthropic выпустила Opus 4.8 и анонсировала новую модель: Mythos-class модели станут доступны всем «в течение нескольких недель». Разбираем, что умеет модель, которую год держали в закрытом контуре, почему её решились отпустить - и что с этим делать ИБ-команде уже сейчас.

Вчерашний выход Opus 4.8 – очередное продвижение моделей для разработки, судя по тестовым метрикам.

Но для кибербезопасности интереснее про Mythos.

«В течение нескольких недель» - так Anthropic сформулировала срок, когда Mythos-class модели станут доступны всем клиентам. Ту самую модель, которую компания почти год намеренно держала подальше от публики. Не потому, что сырая. А потому что слишком хороша в одном конкретном деле – находить уязвимости и создавать к ним эксплойты.

Claude Mythos это общая frontier-модель, которая оказалась настолько сильна в задачаъ кибербезопасности, что Anthropic приняла беспрецедентное для себя решение: не выпускать её публично, пока не появятся специальные защитные механизмы, а крупные проекты не выпустят исправления критичных уязвимостей, которые можно найти с помощью нее.

Что именно она умеет - задокументировано в рамках Project Glasswing (Anthropic):

Обнаружила тысячи zero-day уязвимостей во всех major ОС и браузерах.

Нашла 27-летнюю уязвимость в OpenBSD - такую, что позволяет удалённо уронить любую машину простым подключением к ней.

Нашла 16-летнюю уязвимость в FFmpeg. В строке кода, через которую автоматические тесты прошли 5 миллионов раз и ничего не заметили.

Автономно нашла и скомпоновала несколько уязвимостей в Linux kernel для эскалации привилегий до root (Reddit / r/accelerate, Anthropic).

Нашел 271 уязвимость в Firefox.

Метрика

Mythos Preview

Opus 4.6

Рабочий эксплойт с первой попытки (CyberGym)

83,1%

66,6%

Экспертны