ИИтог

Киберзащита в эпоху Mythos: сохранять спокойствие и продолжать работу

безопасностьРедакция ИИтогHacker News🔥58Рейтинг ИИтог · значимость 55 · 140 баллов · 9/ч · 49 коммент.
Киберзащита в эпоху Mythos: сохранять спокойствие и продолжать работу

Киберзащитное сообщество встревожено анонсом Claude Mythos, модели, которую позиционировали как революционную в автоматизации поиска и эксплуатации уязвимостей. Однако детальный анализ показывает менее драматичную реальность.

Mythos действительно продвинул возможности: впервые модель достигла уровня экспертных навыков в Advanced CTF Challenge и прошла «The Last One», тестирование полной цепочки атаки от разведки до полного контроля над сетью. Но с точки зрения фундаментальной производительности разница от GPT-5.4 или Opus 4.6 постепенная, а не революционная.

Большое преимущество Mythos, масштабируемость. Anthrоpic запустил Project Glasswing, контролируемый доступ для 150 организаций, где модель запускалась сотни раз на каждом файле исходного кода. Для поиска одной уязвимости OpenBSD понадобилось около 1000 прогонов и 20 000 долларов. Весь бюджет проекта, сто миллионов долларов токенов. Это делает её инструментом только для хорошо финансируемых игроков, а не для скриптовых киддиз.

Основной прогресс в уменьшении ложноположительных результатов: Mozilla заявила об критически низком проценте, Cloudflare назвала его лучше, чем у человека. Однако даже более ранние модели (DeepSeek, Gemma 4, Qwen 3.6) находили половину уязвимостей Mythos в бенчмарках, разница была в количестве итераций, не в архитектуре.

Кроме того, США заблокировали Mythos и Fable для иностранцев, включая находящихся на американской территории. OpenAI тем временем развивает GPT5.5-Cyber с Project Daybreak, но также ограничивает доступ, сосредоточившись на защите, чем на атаке.

Выводы: мало что меняется в традиционной киберзащите. Vulnerabiilty management, редукция поверхности атаки, принципы defense-in-depth и Zero Trust остаются центральными, правда, теперь с ещё большей критичностью в условиях, когда автоматизированные системы могут быть громкими и неуклюжими.

Ключевые факты

  • Mythos, значительный, но постепенный прогресс, а не революция; Opus 4.6 показывает сопоставимые результаты в Advanced CTF Challenge
  • Основное преимущество, масштабируемость через массовые итерации (20 000 долларов и 1000 прогонов для одной уязвимости); недоступно для большинства компаний
  • Правительства США наложили ограничения на экспорт Mythos, Fable и новых моделей OpenAI Sol/Terra/Luna для вета доступа
  • Уменьшение ложноположительных результатов, главное улучшение; Mythos и GPT5.5-Cyber могут доказать эксплуатируемость, чего не могли более ранние ИИ
  • Классические подходы киберзащиты (управление уязвимостями, редукция поверхности атаки, defense-in-depth, Zero Trust) остаются критическими и достаточными

Почему это важно

Опасения по поводу Mythos подогревались PR Anthropic и контролируемым релизом Project Glasswing, создавшим ажиотаж. Реальность показывает, что уровень опасности переоценен: даже уязвимости, о которых говорилось как о 'найденных Mythos', часто были просто старыми багами в OpenBSD и FFmpeg, требовавшими лишь глубокого кода-ревью, но находившихся на одном уровне с постепенным прогрессом других моделей. Тем не менее, наличие AI-инструментов, способных доказать полную цепочку эксплуатации, имеет значение для организаций с достаточным бюджетом.

Кому это важно

Критично для CISO и команд cybersecurity, которые боялись отставания перед AI-автоматизацией атак. Важно также для регуляторов и государств: US и другие страны наложили ограничения на доступ к высокопроизводительным моделям для киберзащиты. На практике, для больших компаний с зрелыми programme vulnerability management и для поставщиков cybersecurity, имеющих доступ к GPT5.5-Cyber и новым моделям OpenAI.

Как это применить

Основные направления, это не новое: (1) улучшить vulnerability management programme через контекстуализацию приоритизации (какие уязвимости реально критичны для вашей инфраструктуры), (2) снизить attack surface (отключить ненужные компоненты, использовать distroless контейнеры, Server Core на Windows), (3) усилить defense-in-depth (MFA, контекст-aware proxies, honeypots и canary tokens), (4) перейти на Zero Trust principles (verify explicitly, least privilege, assume breach). AI может помочь в тriage и анализе данных, но фундамент, прежний.

Можно ли доверять

Статья от cybersecurity специалиста, ссылается на реальные данные Project Glasswing, UK Government AI Security Institute, оценки Mozilla и Cloudflare. Автор аккуратно разделяет маркетинг Anthropic и реальные показатели бенчмарков, указывая на отсутствие активных защитников и оборудования защиты в условиях тестирования. Он также приводит конкретные примеры: стоимость поиска (20 000 USD), количество прогонов (1000), сравнение с конкурентами (DeepSeek, GPT-5.5, Qwen, Gemma). Логика критична и обоснована.

Риски и подводные камни

Риск недооценки: даже если прогресс постепенный, масштабируемость через бюджет (Glasswing's 100 млн долларов токенов) позволит организациям-агрессорам проводить эксплуатацию на новом уровне (подобно Project Daybreak от OpenAI). Риск ложной самоуверенности: компании могут расслабиться, думая, что Mythos, просто маркетинг, и пренебречь обновлением своих программ защиты. Также есть проблема несправедливости доступа: большие cybersecurity фирмы получают доступ к GPT5.5-Cyber и Sol/Terra/Luna, а затем продают их своим клиентам по высокой цене, 'искусственная дефицитность'. Наконец, неясно, как долго США будут ограничивать экспорт, и какие альтернативы появятся из других стран.

«Я уверен, что мало что нужно менять в том, что мы делали годами. У нас уже есть ИИ дома, и то, что доступно, совсем не бесполезно.»

— Автор статьи (Versipelle)