Първи резултати от Project Glasswing: Claude Mythos откри над 10 000 уязвимости

Един месец след старта на инициативата Project Glasswing, изследователската компания Anthropic публикува първия си доклад за напредъка в автоматизираното откриване на софтуерни пропуски [1]. Резултатите разкриват фундаментална промяна в динамиката на киберсигурността, предизвикана от използването на специализирания изкуствен интелект Claude Mythos Preview.

Приблизително 50 партньорски организации са успели да идентифицират над 10 000 уязвимости с висока или критична степен на опасност в някои от най-важните софтуерни системи в света [1]. Докато в миналото процесът по защита е бил ограничаван от скоростта на откриване на нови бъгове, днес основното затруднение е капацитетът на хората за анализ, верификация и своевременно разработване на кръпки (patches) [1].

Изображение: Svetni.me / Авторско изображение

Резултати от корпоративните тестове

Водещи технологични лидери споделиха детайли за работата си с новия инструмент:

• Cloudflare е сканирала над 50 свои хранилища с код, откривайки 2000 софтуерни грешки, от които 400 са оценени с висока или критична степен на опасност [3]. Компанията отчита нисък дял на фалшивите сигнали (false positives), по-добър от този на средностатистически човешки тестер, благодарение на способността на модела самостоятелно да сглобява сложни вериги от уязвимости (exploit chaining) и да генерира работещи доказателства за концепция (Proof of Concept - PoC) [3].
• UK AI Security Institute съобщи, че Mythos Preview е първият тестван модел, способен напълно и самостоятелно да преодолее техните среди за симулиране на многостъпкови кибератаки [1].
• Mozilla откри и отстрани 271 уязвимости във Firefox 150 – над десет пъти повече в сравнение с резултатите, постигнати при Firefox 148 с Claude Opus 4.6 [1].
• Palo Alto Networks, Oracle и Microsoft отчитат многократно съкращаване на времето за анализ и мащабно увеличение на броя на пуснатите пачове за сигурност [1].
• Платформата XBOW класира модела като най-добрия на академичните бенчмаркове ExploitBench и ExploitGym, подчертавайки безпрецедентната му прецизност при генериране на експлойти [1].

Сканиране на софтуер с отворен код

Освен сътрудничеството с партньори, Anthropic използва модела за сканиране на над 1000 проекта с отворен код [1]. Claude Mythos е идентифицирал 6202 критични или високорискови проблеми [1]. При прегледа на първите 1752 от тях от независими фирми за сигурност, 90,6% са потвърдени като реални бъгове, а 62,4% – като наистина критични [1].

Сред ключовите открития е уязвимост за фалшифициране на сертификати в популярната библиотека за криптография wolfSSL (регистрирана като CVE-2026-5194), което наложи спешното пускане на обновената версия 5.9.1 [1] [2].

Нови защитни инструменти

За да подпомогне защитниците срещу неизбежното появяване на сходни по възможности модели в ръцете на злонамерени лица, Anthropic предприема няколко мерки:

1. Пускане в публична бета на услугата Claude Security за корпоративни клиенти, при която моделът Claude Opus 4.7 вече е помогнал за отстраняването на над 2100 уязвимости в рамките на три седмици [1].
2. Разкриване на специализирания изследователски софтуер и готови шаблони (skills) за автоматизирани агенти за нуждите на квалифицирани екипи по сигурност [1].
3. Партньорство с фондацията OpenSSF (проект Alpha-Omega) за техническа помощ при обработката на AI-генерирани доклади [1].
4. Интеграция с отворения стандарт Foundry Security Spec на Cisco за улесняване на оценката на софтуерната сигурност [1].

От съображения за сигурност Anthropic отказва да направи моделите от класа на Mythos публично достъпни, докато не бъдат разработени надеждни предпазни бариери против злоупотреби [1]. Вместо това компанията планира да разшири проекта с правителствата на САЩ и техните съюзници [1].

Източници:

[1]: Project Glasswing: An initial update - Anthropic
[2]: How Claude Mythos Preview helped harden wolfSSL - wolfSSL
[3]: Project Glasswing: what Mythos showed us - Cloudflare