Корпорація Anthropic представила перший звіт про Project Glasswing — ініціативу з пошуку вразливостей за допомогою моделі Claude Mythos.
За місяць роботи приблизно 50 учасників виявили понад 10 000 дефектів безпеки високого та критичного рівня. У компанії зазначили, що головною перешкодою виявилася не швидкість виявлення, а процес верифікації та розгортання виправлень.
ШІ-система проаналізувала більше ніж 1000 проєктів з відкритим кодом, ідентифікувавши 23 019 уразливостей різної ступені небезпеки. З них 6202 були спочатку класифіковані системою як «високі» або «критичні». У ході подальшої перевірки 90,6% знайдених проблем було підтверджено, при цьому 62,4% потребували негайного усунення.
Панель контролю вразливостей у програмному забезпеченні з відкритим кодом. Тут представлені проблеми всіх рівнів загрози, а не лише ті, які система позначила як «високі» або «критичні». Джерело: Anthropic.
Компанія повідомила розробникам про 530 серйозних багів, ще 827 готуються до оприлюднення. 75 дефектів було виправлено, а щодо 65 випущено рекомендації. В середньому, усунення однієї значної вразливості займає приблизно два тижні.
Серед опублікованих прикладів — вразливість у бібліотеці wolfSSL (CVE-2026-5194). За даними компанії, модель змогла змоделювати атаку, спрямовану на підробку сертифікатів.
Mozilla повідомила про виправлення 271 помилки у Firefox 150 після тестування за допомогою Mythos. Cloudflare виявила близько 2000 уразливостей, включаючи 400 з позначкою «високий» та «критичний».
Anthropic заявила, що не планує публічного випуску моделі до розробки надійніших механізмів захисту. Компанія має намір розширити Project Glasswing, зокрема шляхом співпраці з урядовими структурами США та їхніми партнерами.
Варто нагадати, що у квітні компанія відмовилася від публічного розгортання Mythos через значні ризики для безпеки.
Модель використовується, зокрема, Агентством національної безпеки США.