“Производительность ×10–100, эксплойты за часы вместо недель”: что говорят ИБ-специалисты об отмене Claude Mythos

Anthropic не стала публично выпускать свою новую ИИ-модель Claude Mythos Preview, которая способна автономно находить, анализировать и эксплуатировать уязвимости в софте в промышленных масштабах.

В блоге компании сообщается, что Mythos – это “поворотный момент”. Модель настолько мощна, что даже неспециалисты в области кибербезопасности смогут использовать её “для поиска и эксплуатации сложных уязвимостей”.

За время тестирования Claude Mythos Preview обнаружила тысячи критических дыр в безопасности, включая zero-day-уязвимости, для которых нет готовых исправлений. Для сравнения: элитные команды людей-хакеров находят около сотни таких за год, пояснил Офер Амитай, сооснователь стартапа Onit Security. “Так что производительность выше в 10–100 раз, и разработка эксплойтов сжимается с недель до часов”, – добавил он.

Эксперты по кибербезопасности, опрошенные Business Insider, признают: за объявлением Anthropic стоит не только маркетинг. “Anthropic построила репутацию ИИ-компании с приоритетом ‘безопасность превыше всего’, поэтому такие анонсы служат двум целям: искренней осторожности и сигналу о своей приверженности безопасности”, – отметил Джейк Мур, глобальный специалист по кибербезопасности из ESET.

Эрик Блох, вице-президент по информбезопасности Ilumio, объясняет успех Mythos просто: “LLM – это, по сути, языковые движки, а код – просто ещё один язык. Неудивительно, что они находят баги и уязвимости, которые пропускают люди или правила, – особенно тонкие проблемы на уровне логики”.

Однако есть вопросы к стоимости и масштабируемости. Anthropic сообщила, что поиск 27-летней уязвимости в одной операционной системе обошёлся в 20 000 $ после тысяч прогонов Mythos. “Учитывая затраты – масштабируется ли это? – задаётся вопросом Кев