أنثروبك و Claude Mythos يشددان التهديد: الذكاء الاصطناعي يجعل الهجمات الإلكترونية في متناول المبتدئين

Anthropic в апреле 2026 года показала Claude Mythos Preview и резко обострила разговор о том, как AI меняет кибербезопасность. Главный страх индустрии теперь не в том, что модели находят баги, а в том, что искать и эксплуатировать их смогут люди без глубокой технической подготовки.

От конкурса к тревоге

Ещё в августе 2025 года на конкурсе DARPA AI Cyber Challenge в Лас-Вегасе команды тестировали системы автоматического поиска уязвимостей на 54 миллионах строк реального кода. Инструменты находили не только искусственно внедрённые ошибки, но и настоящие баги, которые организаторы вообще не планировали показывать. Это важный сдвиг: ещё до шумихи вокруг Mythos стало видно, что AI уже умеет искать уязвимости на масштабе, который человеку или даже обычной команде исследователей даётся намного медленнее.

Теперь рынок боится не самой автоматизации, а её демократизации. Раньше так называемые script kiddies брали готовые скрипты из интернета и запускали чужие эксплойты, часто не понимая, как они работают. С AI-моделями этого уровня схема меняется: вместо копирования старых инструментов можно в диалоге попросить систему изучить новый код, предложить цепочку атаки и доработать эксплойт под конкретную цель.

Для низкоквалифицированных атакующих это уже не ускорение, а почти новый класс возможностей.

Атаки стали дешевле

Сильнее всего экспертов тревожит не сам Claude Mythos, а резкое падение цены атаки в широком смысле — по времени, усилиям и требуемой квалификации. Исследователи говорят, что поиск серьёзной уязвимости в незнакомой кодовой базе раньше мог занимать недели или месяцы, а теперь на это уходят часы. Один из финалистов AIxCC, Тим Беккер из Theori, прямо говорит: с минимальными подсказками, а иногда и вовсе без них, AI уже способен находить zero-day в широко используемом софте.

«Порог входа в поиск бага в кодовой базе на миллион строк теперь намного ниже, чем раньше».

Из-за этого становится выгодно атаковать даже те системы, которые раньше казались слишком нишевыми или слишком дорогими для исследования. Если усилие почти бесплатное, злоумышленники могут искать слабые места в редких конфигурациях, внутреннем корпоративном ПО или в сервисах, которые использует одна конкретная компания. При этом модели умеют быстро перебирать варианты, комбинировать уже известные шаблоны ошибок и писать рабочие заготовки эксплойтов почти на лету. Anthropic пытается сдержать риск: доступ к Mythos ограничен, а в Claude Opus 4.7 добавили защиту от вредоносных киберзапросов. Но никто не гарантирует, что другие разработчики будут такими же осторожными.

Главная проблема — патчи

Для компаний главный риск теперь выглядит не как «апокалипсис уязвимостей», а как «апокалипсис патчей». Если модели находят тысячи проблем быстрее, чем команды успевают их проверять и исправлять, узким местом становится не поиск, а реакция. Эксперты советуют готовить Mythos-ready план уже сейчас: сегментировать сети, наводить порядок в identity and access management, переходить на memory-safe подходы там, где это возможно, и убирать зависимость от слабой аутентификации. Чем меньше защитных слоёв у компании сегодня, тем больнее окажется следующая волна отчётов об уязвимостях.

• Сегментация сетей и сервисов Жёсткий контроль идентификаций и доступов Более безопасный код и архитектура * Фишинг-устойчивая аутентификация и быстрые обновления Есть и ещё один неприятный эффект: окно между публикацией уязвимости и появлением эксплойта почти схлопывается. Как только выходит патч, атакующие могут разбирать его, понимать, что именно исправили, и искать не обновлённые системы. Поэтому приоритизация становится почти такой же сложной задачей, как сама починка. Критичная уязвимость во внутреннем сервисе не всегда опаснее менее серьёзной ошибки на внешнем периметре. А сопровождать этот поток должны люди: аналитики угроз, incident responders и инженеры, которые знают кодовую базу достаточно глубоко, чтобы чинить не только быстро, но и без новых проблем в будущем. Показателен пример инструмента Xint от Theori. По словам компании, он нашёл все баги, которые Mythos обнаружил в тех же кодовых базах, и добавил ещё 12 zero-day, не вошедших в первоначальный анонс Anthropic. Но исправить найденное намного сложнее, чем найти. Хороший патч требует контекста: надо понять, не сломает ли он функциональность, не ухудшит ли поддержку кода и не создаст ли новые дыры. Для open source это особенно тяжело, потому что на плечи небольших команд и отдельных мейнтейнеров может обрушиться поток тикетов, с которым невозможно справиться на той же скорости, с какой AI генерирует находки.

Что это значит AI уже меняет offensive security быстрее, чем компании перестраивают процессы защиты.

В 2026 году выиграют не те, у кого больше всего сканеров, а те, кто умеет быстро приоритизировать риски, выпускать обновления и строить более безопасное ПО заранее. Иначе даже атакующие без серьёзной подготовки получат инструменты, которые раньше были доступны только сильным исследователям и продвинутым группам.