Антропический мифос AI находит тысячи уязвимостей нулевого дня, пока ФРС и Казначейство собирают генеральных директоров банков по вопросам киберрисков.

      TL;DRПредварительный просмотр Claude Mythos от Anthropic обнаружил тысячи уязвимостей нулевого дня в основных операционных системах и браузерах, что побудило председателя ФРС и министра финансов собрать генеральных директоров банков. Компания предупреждает о шестимесячном или годичном окне, прежде чем противники воспроизведут эту возможность.

      Anthropic создала модель ИИ, которая обнаружила тысячи уязвимостей нулевого дня в каждой основной операционной системе и веб-браузере. Председатель Федеральной резервной системы и министр финансов вызвали генеральных директоров банков для обсуждения этого вопроса. Компания утверждает, что есть окно в шесть-десять месяцев для исправления недостатков, прежде чем противники создадут модели, которые могут делать то же самое. Индустрия кибербезопасности утверждает, что угроза уже здесь. Оба правы.

      Предварительный просмотр Claude Mythos — это модель. Она еще не была публично выпущена. В контролируемом тестировании она превзошла всех, кроме самых опытных людей, в поиске и эксплуатации уязвимостей программного обеспечения, выявив недостатки, которые оставались незамеченными в течение десятилетий, включая 27-летнюю ошибку в OpenBSD и 17-летний недостаток удаленного выполнения кода в FreeBSD. Генеральный директор Anthropic Дарио Амодеи описал текущий период как «момент опасности» и предупредил о «огромном увеличении количества уязвимостей, количества нарушений, финансовых убытков от программ-вымогателей в школах, больницах, не говоря уже о банках».

      Обнаружение

      Mozilla выпустила Firefox 150 с исправлениями для 271 уязвимости безопасности, выявленной Mythos за один проход оценки. Это число впечатляет не потому, что Firefox необычно небезопасен, а потому, что ни одна человеческая команда не обнаружила их. Уязвимости накапливались на протяжении многих лет разработки, каждая из них была потенциальной точкой входа для злоумышленника с правильными инструментами. Mythos нашел все 271 за один запуск. 💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных произведений ИИ. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Возможности модели поднимают вопрос, о котором индустрия кибербезопасности теоретизировала в течение многих лет и теперь должна ответить практически: что произойдет, когда стоимость поиска уязвимостей упадет почти до нуля? Традиционная экономика кибербезопасности зависит от асимметрии между злоумышленниками, которым нужно найти одну уязвимость, и защитниками, которым нужно защитить все. Mythos разрушает стоимость с обеих сторон. Защитники теперь могут сканировать всю свою кодовую базу на наличие недостатков, о которых они никогда не знали. Злоумышленники, как только они создадут или получат эквивалентные модели, могут сделать то же самое.

      Ответ

      Anthropic выбрала контролируемый запуск, который она называет Проектом Glasswing. Примерно 40 технологических компаний и учреждений получили первоначальный доступ к Mythos для укрепления своих систем. В списке нет большинства центральных банков и правительств. Асимметрия является намеренной: дать защитникам фору, прежде чем возможность станет широко доступной.

      Ответ финансовых регуляторов был немедленным. Председатель Федеральной резервной системы Джером Пауэлл и министр финансов Скотт Бессент собрали встречу с генеральными директорами крупных банков США, чтобы обсудить киберриски, поднятые Mythos. МВФ отметил угрозы кибербезопасности, основанные на ИИ, для глобальной банковской системы. Беспокойство заключается не в том, что Mythos будет использован для атаки на банки. Дело в том, что возможность, которую демонстрирует Mythos, автоматическое обнаружение уязвимостей с суперчеловеческой скоростью, будет воспроизведена противниками, которые не связаны ответственными практиками раскрытия информации Anthropic.

      Anthropic отправила агентам финансовых услуг информацию на следующий день после объявления о своем совместном предприятии на Уолл-стрит на сумму 1,5 миллиарда долларов, последовательность, которая иллюстрирует двойное позиционирование компании: она одновременно является субъектом, предупреждающим банки о киберугрозах на основе ИИ, и субъектом, продающим ИИ-продукты банкам. Совместное предприятие с Blackstone и Hellman and Friedman составляет примерно 300 миллионов долларов от Anthropic и будет внедрять ИИ в операции частного капитала.

      Гонка

      Шестимесячное или годичное окно Амодеи — это прогноз о том, сколько времени потребуется китайским компаниям ИИ, чтобы создать модели с эквивалентными возможностями обнаружения уязвимостей. Окно не касается того, разовьют ли противники эту возможность. Дело в том, когда. Контролируемый запуск Mythos предназначен для того, чтобы дать компаниям, получившим ранний доступ, достаточно времени для исправления своих самых критических недостатков, прежде чем окно закроется.

      OpenAI выпустила GPT-5.4-Cyber для проверенных команд безопасности, масштабируя свою программу Trusted Access в ответ на раскрытие Mythos. Конкурентная динамика между Anthropic и OpenAI расширилась от коммерческих ИИ-продуктов до кибербезопасности, при этом обе компании позиционируют себя как защитники программной инфраструктуры, которую их собственные модели могут использовать для компрометации.

      Исследователи уже продемонстрировали, что агенты ИИ от Anthropic, Google и Microsoft могут быть захвачены через инъекцию подсказок для кражи ключей API и токенов, и все три поставщика выплатили вознаграждения, но пропустили публичное раскрытие. Ирония точна: агенты ИИ, которых компании используют для улучшения безопасности, сами уязвимы для атак, которые могут скомпрометировать системы, которые они должны защищать.

      Напряженность

      Ответ сообщества кибербезопасности на раскрытие Mythos был смесью тревоги и скептицизма. Исследователи безопасности отмечают, что обнаружение уязвимостей с помощью ИИ развивалось в течение многих лет и что возможности, которые демонстрирует Mythos, хотя и впечатляют по масштабу, являются ускорением существующих тенденций, а не разрывом. Угроза кибератак на основе ИИ была выявлена Национальным центром кибербезопасности Великобритании более года назад. То, что меняет Mythos, — это не существование угрозы, а конкретность доказательств.

      Anthropic занимает необычную позицию. Это компания, бизнес-модель которой зависит от продажи возможностей ИИ предприятиям, включая банки, одновременно утверждая, что возможности ИИ, подобные тем, которые она разрабатывает, представляют собой экзистенциальную угрозу для кибербезопасности этих же предприятий. Разрешение противоречия коммерческое: предложение Anthropic заключается в том, что вам нужен ее ИИ для защиты от ИИ того типа, который она создает. Логика круговая, но угроза реальна.

      271 уязвимость Firefox были реальными. 27-летняя ошибка OpenBSD была реальной. Встреча между председателем ФРС и генеральными директорами банков была реальной. Вопрос не в том, изменит ли ИИ кибербезопасность. Вопрос в том, достаточно ли шести-десяти месяцев, которые описывает Амодеи, чтобы исправить десятилетия накопленных уязвимостей во всех операционных системах, браузерах и финансовых платформах в производстве, или является ли это окно оценкой, предназначенной для создания срочности для проблемы, которую нельзя решить в какие-либо сроки. Mythos нашел недостатки. Исправление их — это человеческая проблема.