Project Glasswing: Anthropic натравила сверхмощный ИИ на уязвимости мирового ПО

Представьте: ИИ, который находит уязвимости в коде быстрее, чем лучшие хакеры планеты. Теперь представьте, что такой ИИ уже существует — и Anthropic решила направить его на защиту, а не на атаку. Это Project Glasswing.

Что произошло

В апреле 2026 года Anthropic объявила о запуске Project Glasswing — масштабной инициативы по защите критического программного обеспечения с помощью ИИ. Название отсылает к стеклянокрылой бабочке (Greta oto) — метафора прозрачности и уязвимостей, скрытых на виду.

В основе проекта — Claude Mythos Preview, неизданная модель Anthropic, специально обученная для поиска и эксплуатации программных уязвимостей. На бенчмарке CyberGym она воспроизводит уязвимости с точностью 83,1% против 66,6% у Claude Opus 4.6. На SWE-bench Pro — 77,8% против 53,4%.

Иными словами, Mythos находит дыры в коде на сверхчеловеческом уровне.

Тысячи zero-day в каждом браузере

Первые результаты вызывают мурашки. Mythos обнаружил тысячи критических zero-day уязвимостей в каждой крупной операционной системе и веб-браузере. Среди находок — 27-летняя уязвимость в OpenBSD, операционной системе, которая считается эталоном безопасности. Ещё одна «дыра» пряталась 16 лет в FFmpeg — библиотеке для обработки видео, которая встроена практически в каждое приложение на вашем телефоне.

В ядре Linux обнаружены множественные уязвимости, позволяющие повышение привилегий. Каждая из этих находок, попади она к злоумышленникам, могла бы стать оружием.

Коалиция двенадцати

Anthropic не работает в одиночку. В Project Glasswing вошли 12 основателей-партнёров: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks и сама Anthropic.

«ИИ-способности преодолели порог, после которого старые методы защиты систем больше не работают» — Энтони Грико, Cisco

«Окно между обнаружением уязвимости и её эксплуатацией схлопнулось» — Элия Заицев, CrowdStrike

Ещё более 40 организаций получили доступ для защиты критической инфраструктуры. Open-source мейнтейнеры могут подать заявку через программу «Claude for Open Source».

Деньги и доступ

Anthropic выделила $100 млн в кредитах на использование модели для участников проекта, $2,5 млн — фонду Alpha-Omega при Linux Foundation и $1,5 млн — Apache Software Foundation. Для организаций вне коалиции доступ к Mythos стоит $25 за миллион входных токенов и $125 за миллион выходных.

Модель доступна через Claude API, Amazon Bedrock, Google Vertex AI и Microsoft Foundry. Но Mythos Preview не станет общедоступной — слишком велик риск злоупотреблений.

Палка о двух концах

Здесь кроется главное противоречие проекта. Если ИИ может находить уязвимости быстрее людей, то рано или поздно аналогичные модели создадут и злоумышленники. Glasswing — это гонка: кто первый обнаружит «дыры» в критическом ПО, тот и определит, будут они закрыты или использованы.

Anthropic обязалась публиковать находки в течение 90 дней и разрабатывать отраслевые стандарты для раскрытия уязвимостей и безопасной разработки. Планируется, что защитные механизмы Glasswing будут интегрированы в грядущую модель Claude Opus.

Джим Землин из Linux Foundation назвал проект «напарником для каждого мейнтейнера» — возможность дать добровольным разработчикам open-source те же инструменты безопасности, что есть у корпораций. Если это сработает, Glasswing может стать самой важной инициативой в кибербезопасности за последние годы.