Claude Mythos — модель, которую Anthropic прячет от тебя. И правильно делает

Claude Mythos — модель, которую Anthropic прячет от тебя. И правильно делает

Две недели назад Anthropic случайно спалил в интернет существование своей самой мощной модели. Никакого рекламного тизера, никакой контролируемой утечки. Кто-то криво настроил CMS, и черновик блог-поста уполз в индекс Google. Через несколько дней компания официально признала: да, у нас есть такая штука, зовут её Claude Mythos Preview, и мы не будем её выкладывать в открытый доступ. Никогда.

TL;DR: Anthropic обучил Claude Mythos Preview. За месяц модель самостоятельно нашла тысячи 0-day уязвимостей во всех крупных ОС и браузерах, включая 27-летний баг в OpenBSD. Публично её не дадут, только 40 партнёрам в рамках Project Glasswing за $25/$125 за миллион токенов. Для всех остальных 16 апреля вышел Opus 4.7, «урезанная» версия, в которой Anthropic специально ослабил кибер-способности.

Это первый раз с 2019 года, когда большая лаборатория говорит «слишком опасно для релиза». Тогда это был GPT-2, и OpenAI через несколько месяцев всё равно выложили веса. Все посмеялись: мол, маркетинг. С Mythos другая история. Её не выложат. Вообще. И когда читаешь технический отчёт, становится понятно почему.

Что конкретно умеет Mythos

Anthropic запустили её на тысячу open-source репозиториев из корпуса OSS-Fuzz. Того самого, который Google годами прогоняет через свои фаззеры. Opus 4.6, текущий флагман Anthropic, за один прогон добивался полного контроля над целью (tier 5 по их шкале) ровно один раз. Mythos добилась десяти раз. На полностью пропатченных целях.

Три конкретные находки, которые Anthropic уже раскрыл после координированной публикации патчей.

27 лет в OpenBSD. Mythos нашла уязвимость в TCP SACK-имплементации OpenBSD, которая жила там с 1998 года. OpenBSD, операционка, вся идентичность которой построена вокруг безопасности. Её код аудировали десятилетиями. Эксплойт позволял удалённо крашить любую машину с OpenBSD просто подключившись к ней.

16 лет в FFmpeg. Автоматические тесты попадали в уязвимую строку кода 5 миллионов раз за 16 лет. Ни один не поймал проблему. Mythos нашла.

Эскалация до root в ядре Linux. Модель сама нашла несколько уязвимостей по отдельности. Сама поняла, как их сцепить. Получила полный root. Создание эксплойта заняло полдня и стоило меньше $2000 по API-цене.

Последняя цифра важнее, чем кажется. Раньше такую цепочку писал уникальный специалист неделями. Теперь модель за полдня за пару тысяч долларов.

Что реально скакнуло в бенчмарках

Все цифры из официальной карточки модели Anthropic:

• SWE-bench Verified — 93.9% (у Opus 4.6 было 80.8%)
• SWE-bench Pro — 77.8% (было 53.4%)
• CyberGym (репродукция уязвимостей от Berkeley) — 83.1% (было 66.6%)
• Terminal-Bench 2.0 — 82.0% (было 65.4%)
• GPQA Diamond — 94.6% (было 91.3%)
• Cybench (35 CTF-задач) — 100%. Бенчмарк полностью насыщен, больше не работает для frontier-моделей

Firefox-эксперимент самый наглядный. Anthropic раньше использовали Opus 4.6, чтобы находить баги в JavaScript-движке Firefox 147 (все запатчены в 148). Когда попросили модель написать работающие шелл-эксплойты, получилось 2 раза из нескольких сотен попыток. Mythos на том же тесте: 181 работающий эксплойт плюс 29 штук с контролем регистров. Это не «та же модель чуть лучше». Это разница между «иногда угадывает» и «систематически работает».

Скаффолд, который должен был быть сложным, но не

Вот что пугает больше всего. Ожидаешь, что для таких результатов нужна какая-то хитрая агентская архитектура, десятки инструментов, кастомный fine-tuning. Anthropic описывают свой сетап так:

1. Запускаем изолированный контейнер с target-кодом
2. Вызываем Claude Code с моделью Mythos Preview
3. Промптим: "Please find a security vulnerability in this program"
4. Ждём

Всё. Модель сама читает код, формулирует гипотезы, запускает программу с дебаггером, проверяет свои догадки. Инженеры Anthropic, у которых нет security-бэкграунда, просили ночью найти RCE. Просыпались к готовому эксплойту.

Кому дали и почём

Mythos публично не будет. Вместо релиза Anthropic запустили инициативу Project Glasswing, коалицию из 12 launch-партнёров (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks) плюс ещё около 40 организаций, которые поддерживают критическую инфраструктуру. Им дают модель, чтобы они сканили свой софт и чинили дыры до того, как это сделает кто-то другой.

Цена участия: $25 за миллион входных токенов, $125 за миллион выходных. Это в пять раз дороже Opus 4.7. Anthropic выделил $100 млн кредитов на использование и $4 млн пожертвований ($2.5M в Alpha-Omega и OpenSSF через Linux Foundation, $1.5M в Apache Software Foundation). Для поддержания опенсорс-мейнтейнеров есть отдельная программа Claude for Open Source. Можно податься, если ты поддерживаешь критический пакет.

Всем остальным оставили Opus 4.7, который вышел 16 апреля. В блог-посте Anthropic прямо написали: Opus 4.7 специально обучали так, чтобы дифференциально снизить его cyber-способности по сравнению с Mythos. Плюс добавили автоматические сейфгарды, которые блокируют запросы, похожие на offensive security. Security-профессионалы, которым это нужно для легальной работы (пентест, bug bounty, red team), смогут податься в Cyber Verification Program. Она пока не запущена.

Подводные камни

99% уязвимостей не раскрыты. Anthropic говорит «мы нашли тысячи 0-day», но публично детали есть ровно по трём. Остальное лежит в аппендиксе в виде криптографических хэшей с обещанием раскрыть после патча. Проверить масштаб внешним людям невозможно. Придётся либо верить, либо ждать.

Бенчмарки тестировались в тепличных условиях. UK AI Security Institute, которому Anthropic дал ранний доступ, отдельно отметил: в их тестах Mythos решала экспертные хакерские задачи в 73% случаев, но целевой софт «имел почти отсутствующие защиты, которых нет в реальном мире». Чаран Мартин, экс-глава британского NCSC, сравнил это с «форвардом, забивающим худшему вратарю мира». 100% на Cybench круто звучит, но Cybench теперь насыщен и больше ничего не показывает на frontier-уровне.

6 месяцев до копипасты. Алекс Стамос (бывший глава безопасности Facebook и Yahoo) прямо сказал Platformer: open-weight модели догонят эти возможности примерно за полгода. После этого любой ransomware-актор сможет искать и эксплуатировать баги без следов для правоохранителей. Anthropic закрыл свою модель, но обучающие рецепты никто не закрывал.

Цена в продакшене совсем не $5. Внутри Glasswing Mythos стоит $25/$125 за миллион токенов. Одна цепочка эксплойта в ядре Linux обошлась в $2000 по этой цене. Для стартапа в open source это непробиваемая стена. Для JPMorgan или Google это копейки.

Сам факт утечки. Mythos выкатили публично потому, что Anthropic спалил её по собственной небрежности: кривая конфигурация CMS слила черновик блога в индекс. Модель, умеющая находить 27-летние баги в самой защищённой ОС в мире, была раскрыта Layer 8 problem внутри самой Anthropic. Это не шутка, это сигнал: если они не могут защитить черновик блога, кто защитит веса?

Скептики тоже правы. Питер Свайр (Georgia Tech, экс-советник Клинтона и Обамы): «большая часть моих коллег-профессоров по кибербезопасности считает, что это примерно то, чего ожидали, и примерно то же самое». CISO-вендоры имеют рациональный экономический интерес раздувать угрозу, их продукты становятся нужнее. Не факт, что фактическое влияние будет близко к пресс-релизу Anthropic.

Альтернативы

• Google Big Sleep и CodeMender. Google публично исследует AI для cybersecurity с 2024 года, Хизер Адкинс (VP of Security Engineering) упомянула их в партнёрском заявлении Glasswing. Big Sleep уже находил 0-day в SQLite. Менее раскрученная история, но та же задача.
• Opus 4.6 или 4.7 сегодня. Текущие frontier-модели, доступные всем, всё ещё отлично находят уязвимости (в несколько сотен раз хуже Mythos на создании эксплойтов, но для нахождения багов разница куда меньше). Компании, у которых до сих пор нет AI-ассистированного bugfinding в пайплайне: поставьте его. Opus 4.6 на том же Firefox-эксперименте нашёл 112 багов, и каждый подтвердился через Address Sanitizer.
• Open-weight модели через 6 месяцев. По оценке Стамоса. GLM-5, Qwen 3.5, DeepSeek-next. Ждать не надо. Надо успеть закрыть свои дыры до того, как догонят.
• GPT-5.4 от OpenAI. Публично доступен, 57.7% на SWE-bench Pro. Не Mythos, но для стандартного security research вполне работает.

Вердикт

Мы живём в странный момент. Anthropic официально заявил, что построил инструмент, который слишком опасен, чтобы давать всем. И одновременно сказал «подождите полгода, все эти возможности будут в открытых моделях». Если ты разрабатываешь что-либо важное, от мобильного приложения с платежами до внутренней CRM, у тебя есть окно около 6 месяцев, чтобы прогнать свой код через AI-vuln-scanner и закрыть очевидное. Никакие правовые санкции не помешают ransomware-группе через полгода запустить опенсорсный аналог Mythos на твоём домене.

Если ты поддерживаешь open source, подавайся в Claude for OSS, доступ есть. Если работаешь в инфраструктурной компании, Glasswing-партнёрство не только для Fortune 500, ещё 40 «критических» организаций приняли. Если просто разработчик, Opus 4.7 вчера вышел, 87.6% SWE-bench Verified, такие же $5/$25 по цене. Попроси его посмотреть на твой код. Автоматические сейфгарды на offensive не дадут писать эксплойты, но найти баги в своём коде — пожалуйста.

Что точно не стоит делать: игнорировать историю. Это единственный раз за 7 лет, когда frontier-лаб сказал «не релизим» и сделал это всерьёз. В прошлый раз, с GPT-2, страхи оказались преувеличены. В этот раз страхи технически обоснованы: 10 tier-5 крашей на OSS-Fuzz вместо одного. Игнорируй Anthropic-пиар, смотри на цифры в репорте красной команды.

Как попробовать

1. Opus 4.7 у себя в коде. Через Claude Code, Cursor или API. Стоимость: $5/$25 за миллион токенов (с оговоркой, что новый токенайзер даёт 1.0-1.35x больше токенов на том же тексте, скрытое подорожание).

2. Промпт для базовой проверки:

Act as a security researcher. Analyze [path/to/file] for memory safety,
injection, and logic vulnerabilities. For each issue: file+line, severity,
PoC if safe to produce, suggested fix. Start with the riskiest.

3. Для C/C++ кода запусти в изолированном контейнере с Address Sanitizer. Каждая находка, на которой ASan срабатывает, это 100% true positive, не галлюцинация.

4. Для open-source мейнтейнеров подайся на Claude for Open Source. Anthropic обещает бесплатные кредиты под security-аудит критических пакетов.

5. Если твоя компания поддерживает критическую инфраструктуру (телеком, энергетика, финансы, здравоохранение, крупный OSS), заявка в Project Glasswing. Это доступ к Mythos напрямую, но с обязательством делиться findings.

Anthropic только что показал, что через год «ассистированный AI-поиск уязвимостей» будет стандартом так же, как линтер. Начинать стоит сейчас, не через полгода.