L'industrie de la cybersécurité conteste les affirmations d'Anthropic sur la découverte de vulnérabilités via Mythos

Вокруг Anthropic Mythos быстро формируется не только интерес, но и скепсис: модель, которую обсуждают из-за способности находить опасные киберуязвимости, может быть не столь уникальной, как это выглядит в публичной подаче. Если результаты внутренних тестов Aisle верны, громкий кейс, вызвавший тревогу у госструктур и крупных организаций, повторяется и на гораздо более дешёвых open-source моделях. Поводом для дискуссии стали заявления о том, что Mythos способен выявлять программные дефекты и уязвимости на уровне, который заставил правительственные ведомства и институциональных заказчиков внимательнее отнестись к рискам такого инструмента.

Сам факт, что модель тестирует лишь ограниченный круг компаний, только усиливает напряжение: когда доступ к системе закрыт, рынок вынужден опираться не на широкий бенчмарк, а на отдельные демонстрации и оценки разработчика. Именно здесь прозвучала ключевая критика со стороны Джайи Балу, COO и CISO киберкомпании Aisle. По её словам, во внутренних тестах команда смогла воспроизвести тот же результат, на который ссылалась Anthropic, используя недорогие модели с открытым исходным кодом.

Иными словами, речь может идти не о недосягаемом технологическом скачке одной закрытой системы, а о задаче, которую уже умеют решать более доступные инструменты при правильной настройке, достаточном контексте и грамотной постановке запроса. Для покупателей и регуляторов различие здесь огромное. Одно дело — редкая модель с жёстко контролируемым доступом, которая показывает необычный результат в закрытом контуре.

Другое — ситуация, в которой сопоставимый эффект демонстрируют более дешёвые системы, доступные для внутреннего развёртывания или работы с открытым кодом. В первом случае акцент делается на ограничении доступа к конкретному продукту. Во втором — на том, что организациям придётся пересматривать процессы защиты, код-ревью и внутреннего тестирования уже как часть новой нормы.

Есть и ещё один важный слой этой истории: вопрос доверия к громким заявлениям на раннем этапе тестирования. Пока модель проходит проверку у ограниченного круга компаний, публичный рынок видит только верхнюю часть картины — отдельный кейс, эффектную формулировку и реакцию на неё. Но для реальной оценки нужны сопоставимые сценарии, повторяемые результаты и понимание условий, при которых модель нашла конкретную уязвимость.

Без этого легко перепутать впечатляющую демонстрацию с устойчивым преимуществом. Для индустрии кибербезопасности это принципиальный момент. Если уникальность Mythos преувеличена, меняется и оценка угрозы.

Опасения вокруг таких моделей строятся на двух предпосылках: они ускоряют поиск уязвимостей и снижают порог входа для злоумышленников. Но если тот же эффект достижим через open-source экосистему, обсуждение должно смещаться с конкретной компании на более широкий факт: сами возможности уже, вероятно, распределены по рынку и не привязаны к одному вендору. С другой стороны, это не обязательно ослабляет тревогу — скорее, делает её более практической.

Для госструктур, корпораций и разработчиков вопрос теперь не только в том, насколько силён один флагманский ИИ, а в том, насколько быстро схожие функции распространяются по низкобюджетным и общедоступным моделям. Закрытый доступ к Mythos мог создавать ощущение эксклюзивной опасности. Заявление Aisle указывает на другой сценарий: возможности поиска багов, полезных защитникам и столь же рискованных в руках атакующих, уже становятся массовыми.

Главный вывод в том, что спор вокруг Anthropic Mythos — это спор не только о качестве одной модели, но и о том, как рынок измеряет исключительность ИИ в кибербезопасности. Если дешёвые open-source решения действительно находят те же уязвимости, конкурентное преимущество Anthropic выглядит менее драматично, а сама дискуссия переходит из плоскости сенсации в плоскость верификации, сравнительных тестов и управления доступом к таким инструментам.