Старый код, новая дыра
Вчера стало известно, что система Project Glasswing от Anthropic, используя модель Claude Mythos, выявила критическую уязвимость в ядре OpenBSD. Дыра пряталась в коде с 1999 года. Двадцать семь лет ее не замечали ни люди, ни автоматические сканеры.
Mythos нашла ее за 14 минут.
Это не единичный случай. По данным на 08.04.2026, в рамках Glasswing модель проанализировала миллионы строк кода в закрытых репозиториях Apple, Microsoft и Amazon. Результат: 3,847 критических уязвимостей нулевого дня, о которых ранее не знали. Каждая — потенциальные врата для атак.
Мифос против мифа о безопасности
Claude Mythos — та самая модель на 10 триллионов параметров, архитектура которой утекла в прошлом году. Теперь Anthropic превращает ее в цифрового сыщика. Glasswing — это не статический анализатор. Это автономный агент, который сам пишет эксплойты, тестирует их в песочнице и ищет пути для атаки.
Как он работает с браузерами? Смотрите: Mythos получает доступ к исходному коду Chrome, Firefox или Safari. Она не ищет шаблоны. Она моделирует поведение злоумышленника: что, если скормить движку рендеринга специально сформированный SVG? А если переполнить буфер в обработчике WebRTC?
Так была найдена, например, уязвимость цепочки в движке Blink (Chrome), позволяющая выполнить код через манипуляцию с WebAssembly. Традиционные сканеры ее пропустили.
Агент, который не спит
Самое тревожное (или обнадеживающее) в Glasswing — его масштаб. Он проверяет не только приложения, но и операционные системы, сетевые протоколы, драйверы. Ту самую 27-летнюю ошибку в OpenBSD он обнаружил, анализируя системные вызовы обработки сокетов в условиях гонки данных (race condition).
Но здесь же и главная претензия сообщества. Anthropic не публикует код Glasswing, не дает API и не раскрывает методику. Все результаты уходят партнерам в приватные отчеты. Это как показывать оружие, но не давать его в руки.
Разработчики в ярости. В прошлых скандалах компанию уже критиковали за закрытость. Теперь же они создали, возможно, самый мощный инструмент кибербезопасности за десятилетие — и спрятали его за семью замками.
Что ломается в головах хакеров
Рынок уязвимостей нулевого дня — это многомиллионная теневая индустрия. Такие компании, как Zerodium, платят сотни тысяч долларов за одну рабочую RCE-дыру в iOS или Chrome. Теперь представьте, что одна AI-модель может находить десятки таких дыр в неделю.
Экономика взлома рушится. Цена на уязвимости падает. Для защитников это благо? Не совсем. Потому что те же инструменты могут оказаться и у другой стороны.
В Anthropic заверяют, что Mythos работает в строго контролируемой среде с множеством safeguards. Но как мы знаем из истории с Пентагоном, эти механизмы безопасности — сами по себе уязвимое место.
А что с браузерами? Google уже встраивает ИИ прямо в Chrome. И если Mythos может найти дыру в коде, то что мешает будущей зловредной модели найти дыру в самой системе безопасности ИИ-агента в браузере? Круг замыкается.
Вам не нужен код, чтобы испугаться
Не ждите, что вам дадут поиграть с Glasswing. Anthropic будет монетизировать это через эксклюзивные контракты с гигантами. Пока вы читаете это, Mythos, вероятно, прочесывает код вашей любимой облачной платформы или банковского приложения.
Что это значит для обычного разработчика? Во-первых, ваши старые проекты на C/C++ — это мишень. Во-вторых, слепая вера в автоматические сканеры типа SonarQube теперь выглядит наивной. Они просто не видят того, что видит ИИ.
Совет? Не пытайтесь угнаться за Mythos. Вместо этого начните с самого простого: ревизии самого старого и забытого кода в вашей кодовой базе. Именно там, в пыльном углу, написанном двадцать лет назад стажером, уже может сидеть дыра, которую завтра найдет ИИ — либо ваш, либо чужой.
И да, следите за обновлениями. Тот факт, что Claude Opus уже находил 22 уязвимости в Firefox, был лишь прелюдией. С Mythos игра пойдет по-крупному. Вопрос в том, кто будет держать банк.
