Anthropic запускает Glasswing: ИИ, способный ломать код, ставят на защиту кода
Anthropic предоставила доступ к ИИ-модели Claude Mythos Preview, которая способна выявлять тысячи уязвимостей, для Amazon Web Services, Apple, Google и других крупнейших технологических компаний. В Anthropic обеспокоены тем, что эта модель может быть использована злоумышленниками, поэтому Anthropic предоставила её техногигантам для усиления защиты собственных продуктов. Напомним, что разработчик Claude Mythos Preview уже допускал утечку кода своего предыдущего ИИ-продукта.
Anthropic запустила Project Glasswing — программу, в рамках которой крупные технологические и финансовые компании используют ИИ-модель Claude Mythos Preview для поиска уязвимостей в программном обеспечении. Участники получают доступ к модели и применяют ее для анализа собственных систем и инфраструктуры.
Anthropic — американский разработчик больших языковых моделей (LLM). По оценкам, компания занимает заметную долю корпоративного сегмента: около 30–40% расходов компаний на использование LLM, конкурируя с OpenAI и Google. Компания развивает семейство моделей Claude, ориентированных в том числе на работу с кодом и анализ сложных систем.
Claude Mythos Preview, экспериментальная модель, не доступная публично. Она анализирует код, находит уязвимости и показывает, как их можно использовать — и как закрыть. В тестах модель выявила тысячи ранее неизвестных уязвимостей, включая критические.
Среди них — 27-летняя уязвимость в OpenBSD, позволяющая удаленно вывести систему из строя; ошибка в FFmpeg, не обнаруженная после миллионов тестов; а также цепочка уязвимостей в ядре Linux, дающая полный контроль над системой.
Модель работает автономно: ей не нужны пошаговые команды — она сама анализирует код, находит уязвимости и проверяет их.
Отдельный вопрос — контроль над такими системами. Ранее редакция SecPost рассказывала о случае, когда Anthropic по ошибке раскрыла часть исходного кода Claude — своей публичной линейки ИИ-моделей — в сеть попали более 500 тыс. строк.
В проекте участвуют Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, The Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks — проект реализуется совместно с крупнейшими технологическими компаниями.
Участники используют модель для анализа кода и тестирования систем, а также делятся результатами. Дополнительно доступ получили более 40 организаций, которые разрабатывают или поддерживают критически важное программное обеспечение и инфраструктуру. Anthropic выделяет до $100 млн на использование модели и $4 млн — на поддержку open source.
Появление таких моделей меняет баланс в кибербезопасности: поиск уязвимостей ускоряется, а время между их обнаружением и эксплуатацией сокращается. Это повышает риски атак, но одновременно дает защитникам инструмент для опережающего выявления проблем. Project Glasswing — попытка использовать эти возможности в защитных целях и выработать новые практики безопасности в условиях роста ИИ.
Читайте также
