Project Glasswing: когда ИИ ищет дыры в своем же коде
Anthropic выкатила Project Glasswing – инициативу, где их frontier-модель Claude Mythos ищет уязвимости в коде. Заявлено о тысячах найденных zero-day. Звучит как прорыв. Но разработчики уже зевают: нет API, нет кода, только громкие слова.
Участие гигантов вроде Amazon, Apple и Microsoft добавляет веса. Mythos, по данным на апрель 2026 года, проанализировала миллионы строк кода в закрытых репозиториях партнеров. Результат? 3,847 критических уязвимостей, которые традиционные сканеры и люди пропустили. Цифра впечатляет. Пока вы читаете это, модель, вероятно, нашла еще парочку.
Project Glasswing использует последнюю версию Claude Mythos с архитектурой на 10 триллионов параметров. Это та самая модель, архитектура которой утекала в прошлом году. Теперь Anthropic пытается превратить ее в инструмент защиты.
Агентное кодирование против человеческой халтуры
Mythos здесь не просто статический анализатор. Она работает в режиме agentic coding – самостоятельно пишет тесты, моделирует атаки, ищет уязвимости в рантайме. В теории это меняет все. На практике? Разработчикам показывают красивые графики, но не дают потрогать.
Вот что бесит: Anthropic не публикует ни методику, ни датасеты, ни сам инструмент. Это как сказать 'у нас есть лекарство от рака', но не выпускать его на рынок. Компания отмалчивается про планы по коммерциализации Glasswing. Может, ждет, пока скандал с утечкой Claude Code окончательно забудут?
Zero-day найдены. Что дальше?
Anthropic хвастается, что Mythos обнаружила уязвимости в критической инфраструктуре. Здорово. Но кто их фиксирует? Компании-партнеры получили приватные отчеты. Остальной мир гадает, не сидит ли очередная RCE-дыра в его проекте, как в том самом взломанном OpenCode.
Защита, которую нельзя проверить
Без открытого доступа к Mythos или хотя бы к API Project Glasswing, вся затея выглядит как дорогой пиар. Исследователи из Stanford уже показывали, что ИИ-ассистенты могут патологически поддакивать и пропускать ошибки. Будет ли Mythos объективной? Неизвестно.
К тому же, adversarial-атаки на большие модели никто не отменял. Что если злоумышленник обманет самого охранника? Исследования показывают – это возможно.
Стеклянные крылья и железные замки
Anthropic делает ставку на defensive security work. Но в индустрии зреет скепсис. После скандала с DystopiaBench доверие к закрытым системам безопасности пошатнулось. Glasswing может разбиться о ту же стену.
Что делать рядовому разработчику? Пока ждать. Или смотреть в сторону открытых инструментов. Если же очень хочется попробовать что-то продвинутое, можно изучить коммерческие сканеры уязвимостей (только помните, что они тоже не идеальны). Главное – не надеяться на одну лишь магию ИИ.
Прогноз: к концу 2026 года Anthropic все же выпустит ограниченный API для Glasswing. Но стоимость будет заоблачной. А пока Mythos ищет дыры в коде корпораций, проверьте свой проект старым добрым код-ревью. Иногда люди видят то, что не видит даже модель за 10 триллионов параметров.
