Anthropic заставила Банк Англии экстренно собирать Минфин и спецслужбы — всё из-за ИИ, который взламывает любые ОС и браузеры
Claude Mythos Preview — мечта хакера и кошмар банкира.
Британские власти и крупнейшие банки срочно обсуждают новую проблему в кибербезопасности: модель Claude Mythos Preview от Anthropic, по данным самой компании, умеет находить и использовать ранее неизвестные уязвимости в популярных операционных системах и браузерах. После публикации таких оценок Банк Англии, Управление по финансовому регулированию и надзору Великобритании, Минфин страны и Национальный центр кибербезопасности начали экстренные консультации о возможных рисках для критической ИТ-инфраструктуры.
Anthropic представила Claude Mythos Preview 7 апреля, но отказалась от публичного релиза. Вместо открытого доступа компания запустила закрытую программу Project Glasswing, в рамках которой модель передали ограниченному кругу организаций для защитных задач. В Anthropic заявили, что система уже обнаружила тысячи серьезных уязвимостей в широко используемом ПО. Среди находок компания упомянула в том числе исправленную 27-летнюю ошибку в OpenBSD.
Самая острая часть истории связана не только с поиском багов, но и с эксплуатацией. В техническом описании говорится, что Claude Mythos Preview по запросу пользователя способна не просто находить zero-day-уязвимости, но и превращать находки в рабочие эксплойты. Компания утверждает, что модель показала такие результаты на всех основных операционных системах и веб-браузерах, а в отдельных случаях самостоятельно собирала сложные цепочки атак, включая обход защитных механизмов.
Для финансового сектора угроза выглядит особенно чувствительной. Банки часто работают на смеси новых платформ и очень старых систем, где могут годами оставаться плохо заметные слабые места. Эксперты, опрошенные Reuters, предупреждают, что такая комбинация делает отрасль удобной мишенью: модель, которая умеет быстро искать и масштабировать уязвимости, может резко снизить порог входа для атак и усилить последствия взломов. По данным Reuters, подобные обсуждения с банками уже идут как минимум в Великобритании, США и Канаде.
На британской стороне вопрос уже вышел на уровень межведомственной координации. Reuters со ссылкой на Financial Times пишет, что представителей крупных банков, страховых компаний и бирж планируют подробно проинформировать о рисках в ближайшие две недели. Речь идет не о гипотетическом споре вокруг будущего ИИ, а о попытке понять, как быстро финансовый рынок сможет подготовиться к появлению систем, которые ускоряют поиск и использование багов быстрее, чем компании успевают выпускать патчи.
При всех оценках вокруг Mythos остаются и вопросы. Часть наблюдателей считает, что Anthropic слишком громко подает собственные результаты и смешивает полезный анализ с маркетинговым эффектом. Дополнительная сложность в том, что у независимых исследователей пока нет полноценного доступа к модели, а значит проверить заявления компании в открытом режиме пока невозможно. Об этом, в частности, писал The Guardian.