Anthropic опублікувала перший звіт за програмою Project Glasswing, у межах якої ІІ-модель Claude Mythos просканувала понад 1000 опенсорсних проєктів і виявила понад 23 000 вразливостей, з яких більш як 6200 отримали оцінку high або critical. Одночасно з’явилися ознаки того, що компанія готує модель до ширшого публічного доступу — згадки claude-mythos-1-preview були помічені в інтерфейсах Claude Code і Claude Security. Ця ситуація ставить перед індустрією фундаментальне питання: як збалансувати колосальний оборонний потенціал подібних інструментів із ризиками їхнього зловживання.
Результати Project Glasswing у цифрах
Замість відкритого релізу моделі, анонсованого у квітні 2026 року, Anthropic запустила закриту програму Project Glasswing. Доступ до Mythos, за наявними даними, отримали близько 50 партнерів, серед яких називають Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft і Nvidia. Додатково обмежений доступ було надано низці організацій та проєктів з відкритим вихідним кодом через Linux Foundation.
Ключові результати з першого звіту Glasswing:
- Проскановано понад 1000 опенсорсних проєктів, які становлять основу корпоративної інфраструктури
- Виявлено понад 23 000 вразливостей
- Понад 6200 вразливостей класифіковані як high або critical
- З 1752 критичних і високоризикових знахідок, що пройшли ручну верифікацію, 90,6% підтвердилися як реальні вразливості
Показник точності 90,6% — це серйозний результат для автоматизованого аналізу. Для порівняння: традиційні інструменти статичного аналізу коду (SAST) нерідко генерують від 30 до 70% хибнопозитивних спрацювань залежно від конфігурації та типу проєкту. Mythos, судячи зі звіту, суттєво зменшує цю проблему.
Проблема масштабу: патчі не встигають за знахідками
Показова деталь звіту — визнання частини учасників програми, що обсяг виявлених проблем перевищує можливості їхніх команд щодо випуску виправлень. Це створює парадоксальну ситуацію: інструмент, покликаний посилити захист, фактично генерує інформаційне перевантаження для команд безпеки.
Саме цей аспект лежить в основі побоювань Anthropic. Компанія попереджала, що в короткостроковій перспективі подібні інструменти можуть принести більше користі атакувальникам, ніж захисникам. Логіка проста: зловмиснику достатньо однієї експлуатованої вразливості, тоді як захиснику потрібно закрити всі. Якщо модель здатна автоматично знаходити тисячі незакритих вразливостей у популярному ПЗ, асиметрія між атакою та захистом посилюється.
Ознаки наближення публічного релізу
Як повідомляє BleepingComputer, користувачі виявили згадки моделі claude-mythos-1-preview у Claude Code і Claude Security. Деякі, ймовірно, навіть бачили можливість перемикання на Mythos у публічній версії Claude Code, перш ніж цю опцію приховали.
У самому звіті Glasswing Anthropic заявила про плани відкрити публічний доступ до моделей класу Mythos у «найближчому майбутньому», але лише після створення надійніших захисних механізмів. Поява ідентифікатора моделі в користувацьких інтерфейсах може вказувати на те, що технічна підготовка до запуску вже триває.
Варто зауважити, що прямого офіційного підтвердження конкретних строків публічного релізу від Anthropic наразі немає. Інформація про появу моделі в інтерфейсах ґрунтується на спостереженнях користувачів та єдиному новинному джерелі.
Оцінка впливу та рекомендації
Потенційні наслідки широкого доступу до моделі такого класу зачіпають кілька категорій організацій:
- Мейнтейнери опенсорсних проєктів — вже зараз відчувають тиск від потоку виявлених вразливостей. Публічний реліз моделі кратно збільшить кількість звітів про помилки
- Компанії, що залежать від відкритого ПЗ — понад 1000 просканованих проєктів «лежать в основі корпоративної інфраструктури та значної частини інтернету», за формулюванням Anthropic
- Команди безпеки — мають бути готові до різкого зростання кількості відомих вразливостей в використовуваних компонентах
Організаціям, які використовують відкрите ПЗ в критичній інфраструктурі, варто вже зараз провести інвентаризацію залежностей (Software Bill of Materials), посилити моніторинг публікацій вразливостей у ключових компонентах і оцінити свої можливості щодо оперативного застосування патчів. Якщо учасники закритої програми Glasswing визнають, що не справляються з потоком знахідок, публічний реліз моделі зробить пріоритизацію вразливостей критично важливою навичкою для кожної команди безпеки.
Незалежно від строків публічного релізу Claude Mythos, сам факт існування моделі з підтвердженою точністю виявлення вразливостей понад 90% змінює ландшафт. Організаціям слід зосередитися на трьох конкретних діях: скласти й підтримувати актуальний SBOM для всіх продуктів, упровадити автоматизований процес пріоритизації та застосування патчів для опенсорсних залежностей, а також закласти в планування ресурсів сценарій, за якого кількість відомих вразливостей у використовуваних компонентах зросте на порядок.
