Нейросети взломали всё на свете
Anthropic выпустили пост-обновление про своих ИИ-хакеров Mythos и Project Glasswing с промежуточными результатами. Спустя месяц использования этих систем большинство партнеров обнаружили в своем коде сотни уязвимостей критического и высокого уровня опасности каждый.
В общей сложности они выявили десятки тысяч уязвимостей. Некоторые из партнёров сообщили, что скорость обнаружения багов выросла более чем в десять раз. Например, компания Cloudflare нашла 2000 уязвимостей (400 из которых имеют высокий или критический уровень опасности) в своих критически важных системах, при этом доля ложных срабатываний, по мнению команды Cloudflare, оказалась ниже, чем у тестировщиков-людей.
Я видел много комментариев про то, что, мол, Mythos да может что-то находит, но наверняка выдаёт и много мусора, где уязвимостей нет — так вот это не так. Помимо закрытых проектов, Anthropic натравили Mythos и на опенсурс для сканирования более 1000 крупных репозиториев, на которых во многом держится современный интернет. На данный момент, по оценкам Anthropic, в этих проектах найдено 6202 уязвимости высокого или критического уровня (из 23 тысяч в общей сложности, включая те, которые относятся к среднему или низкому уровню опасности).
На данный момент лишь 1752 из этих уязвимостей с высоким и критическим уровнем прошли тщательную проверку силами одной из шести независимых исследовательских компаний в сфере кибербезопасности. Из них 90% оказались подтвержденными, а 62% (1100 штук) были классифицированы именно как уязвимости высокого или критического уровня.
Некоторые из уязвимостей носили очень серьёзный уровень угрозы, если бы они были обнаружены злоумышленниками. Так, например, Mythos смог написать эксплойт, который позволил бы злоумышленнику подделывать SSL-сертификаты через библиотеку wolfSSL. Это, к примеру, дало бы ему возможность разместить фальшивый сайт банка или почтового провайдера, и для конечного пользователя такой сайт выглядел бы абсолютно легитимным, браузер не показал бы никаких уведомлений.
Обнаруженные уязвимости льются как из рога изобилия, их не успевают исправлять, не хватает людей. Некоторые команды/проекты даже просили снизить темпы раскрытия информации об уязвимостях, поскольку им требуется больше времени на создание патчей. (В среднем, на устранение бага высокого или критического уровня, найденного с помощью Mythos Preview, уходит две недели).
В настоящее время ни одна компания — включая Anthropic — не разработала достаточно надежных механизмов защиты, способных предотвратить использование подобных ИИ-моделей во зло и для причинения потенциально серьезного ущерба. Именно поэтому к модели не дают доступ широкой аудитории.
Но по этой же причине и был запущен Project Glasswing: если модель с аналогичными возможностями будет выпущена кем-то без соответствующих мер, то в скором времени для любого человека в мире станет значительно дешевле и проще эксплуатировать уязвимый код.
Проект «Glasswing» — инициатива в области кибербезопасности, запущенная компанией Anthropic 7 апреля 2026 года. Цель проекта — поиск и устранение уязвимостей в критически важном программном обеспечении с помощью публично недоступной языковой модели Claude Mythos Preview. По оценке компании, современные языковые модели способны обнаруживать и эксплуатировать уязвимости на уровне, недостижимом для большинства специалистов по безопасности.
Пока речь идет про уязвимости в коде программ. Но нам интересно взглянуть на проблему шире.
Кожаные мешки успели себе «накодить» не только тонны кода, но и некоторое количество правил, законов, парадигм, которые не описываются только кодом. Ну, например — медицину, экономику, юриспруденцию.
Про медицину — отдельный вопрос, какие баги найдет ИИ в описательной кожаной медицине.
Про экономику — похоже кожаные накодили плохо, все кризисы предсказываются задним числом, а ИИ в качестве управления инвестициями показывает себя плохо. Скорее всего не потому, что он тупой, а потому что «код экономики» не просто забагован, а не имеет стройной (а не спекулятивной) матбазы.
А вот с юристами интереснее. Кожаные «накодили» себе законов, в которых же сами постоянно ищут дыры, прецеденты, исключения. И тут ИИ может развернуться по полной. И речь не только про поиск дыр в контрактах, а вообще в своде законов, в котором есть уязвимости и противоречия. Интересно, как кожаные будут латать эти дыры, когда ИИ начнет их тыкать мордой в эти кейсы.
За рамками дискуссии можно оставить мысль, что каждый кожаный после рождения «кодит» у себя в голове модель мира (которая часто ничего общего с миром не имеет). Когда ИИ начнет находить уязвимости в этом ментальном коде — как он будет это использовать?
Хехехе — в кодификатах, ака законы не может быть противоречий по дефолту. Практически все эти «противоречия» оттого что описант этих противоречий нихрена не отбивает дупля с какой ЦЕЛЬЮ эти законы приняты.
А приняты они с целью обеспечить бенефит бенефициарам. Вот такая вот тафтология.
Элита пишет законы ДЛЯ СЕБЯ.
А потом приходит яйцеголовый описант и находит «противоречия». Томущо в голове описанта валяется всякое гогно про «польза обществу и людям» — вот это вот всё.
Тогда как в мiре всё проще и жёстче.
Кстати — у меня уже прокатилась ШЕСТАЯ волна обновлений ядра ОСи. Имеется в виду время когда стали писать об уязвимостях ядра Линукс.
Это всё понятно:
Однако, как я вижу, ты не осознал фразу из материала «Обнаруженные уязвимости льются как из рога изобилия, их не успевают исправлять, не хватает людей».
Опять же я как профпрограммист (в прошлом) прекрасно понимаю, что эти коекакеры пока одно исправляют — в трёх других местах багов понаставят. И чем дальше правят — тем больше дыр и кривизны.
До сих пор концепт «исправлений ошибок» заключался в том, что мы правим то, что заметили юзеры. Затыкаем дыры, которые стали юзать хакеры. Но делаем это по минимуму — иначе через некоторое время продукт просто перестанет работать под слоями исправлений.
Нейросети это изменили. Они находят слишком много и слишком быстро — и сразу готовы это использовать.
Не боись, нейросети найдут противоречия в законах. И лоёры немедленно начнут их юзать на полную катушку. И откроются порталы в АДЪ.
Ты не понял — я написал то что написал. Это КАЖУЩИЕСЯ противоречия. На самом деле это СИСТЕМА преференций. И хозяевам ИИ так врежут по башке чтобы они не лезли куда ниннада, шо для кого то непонятливого это станет последним ударом.
Ну разумеется, большинство этих дыр, эти нечеткие толкования и противоречия в нормах — сделаны СПЕЦИАЛЬНО. Чтобы те, кто имеет доступ к системе — могли её крутить так, как им надо. Для получения преференций.
Но я уверен, что конструкторы этой системы именно из-за её многократных ковыряний и изменений — понаделали там в том числе и таких дыр, о которых они сами не знают. ИИ постарается это найти.
Разумеется, нам с тобой никто эти дыры использовать не позволит. А вот «те, кому положено» — станут юзать их еще больше.
Вот о чем я говорю.
Ну так тут и без ИИ всё хорошо. Хотя с ИИ дело пойдёт веселее.
Образец тут — лойерское гос-во Юнайтед Таки Ещё Стейт.