Project Glasswing Anthropic: ИИ-поиск уязвимостей кода — что это значит
Представьте: команда безопасности крупной энергетической компании получает отчёт о том, что в её программном обеспечении найдено несколько сотен критических ошибок. Раньше на их поиск уходили месяцы работы внешних аудиторов. Теперь программа, обученная на тысячах примеров уязвимостей, находит их за несколько дней.
Источник: Anthropic
Именно это происходит в рамках Project Glasswing — программы компании Anthropic, которая с апреля 2026 года предоставляет ограниченному кругу организаций доступ к специальной версии своей модели Claude Mythos Preview. За первые недели работы 50 партнёров нашли более 10 000 серьёзных уязвимостей в своём коде.
Теперь программа расширяется. Anthropic объявила о подключении примерно 150 новых организаций из более чем 15 стран. Это не просто новость — это сигнал о том, как меняется подход к кибербезопасности, и повод для любой компании, работающей с критическим кодом, задуматься о своих процессах.
Что изменилось и кого это касается
Новые участники Project Glasswing — это не случайные компании. Anthropic отбирает организации, чья инфраструктура критически важна для миллионов людей. В первую волну вошли в основном технологические компании. Теперь к программе подключаются поставщики электроэнергии, водоснабжения, медицинские учреждения, операторы связи и производители оборудования.
Многие из новых партнёров — это компании или некоммерческие организации, чей код используют другие компании и правительства по всему миру. Если такой код содержит уязвимость, последствия могут затронуть более 100 миллионов человек.
Для бизнес-читателя это означает следующее: если ваша компания разрабатывает программное обеспечение, которое используют другие организации, или если вы отвечаете за безопасность критической инфраструктуры, вам стоит внимательно следить за этой программой. Anthropic планирует расширять её и дальше, и рано или поздно такие инструменты станут доступны широкому кругу компаний.
Как работает поиск уязвимостей
Claude Mythos Preview — это программа, которая обучена находить ошибки в коде, которые могут быть использованы для атаки. Она не просто проверяет код по известным шаблонам, а анализирует логику работы программы и находит места, где злоумышленник может получить несанкционированный доступ или вызвать сбой.
Партнёры Project Glasswing используют эту программу для сканирования своих кодовых баз. Результат — тысячи найденных уязвимостей, которые раньше могли остаться незамеченными.
Anthropic также выпустила продукт Claude Security, который использует последние публичные модели компании для сканирования кода и предложения исправлений. Это означает, что даже без участия в закрытой программе компании могут начать использовать ИИ для поиска уязвимостей.
Почему это меняет подход к безопасности
Главное изменение, которое описывает Anthropic, — это скорость и масштаб. Раньше поиск уязвимостей был медленным ручным процессом, который могли позволить себе только крупные компании с большими бюджетами на безопасность.
Теперь программа, которая стоит относительно недорого, может за несколько дней проверить код, на который у команды безопасности ушли бы месяцы. Это меняет экономику кибербезопасности: становится дешевле искать и исправлять ошибки, чем ждать, пока их найдут злоумышленники.
Однако есть и обратная сторона. Anthropic предупреждает: в ближайшие 6–12 месяцев у других компаний появятся аналогичные модели, и они могут быть выпущены без ограничений, предотвращающих злоупотребление. Это означает, что инструменты для поиска уязвимостей станут доступны не только защитникам, но и атакующим.
Где может возникнуть проблема
Несмотря на впечатляющие результаты, у программы есть несколько ограничений, которые стоит учитывать.
Доступ ограничен. Anthropic предоставляет Mythos Preview только организациям, прошедшим проверку безопасности. Для большинства компаний этот инструмент пока недоступен.
Неизвестна точность. В анонсе сообщается о 10 000 найденных уязвимостей, но не указано, сколько из них были ложными срабатываниями. Любая программа для поиска ошибок может находить проблемы там, где их нет, что создаёт дополнительную работу для команды.
Узкая специализация. Программа обучена на определённых типах уязвимостей. Она может не находить ошибки, связанные с бизнес-логикой или специфическими для отрасли протоколами.
Зависимость от вендора. Использование такого инструмента создаёт зависимость от компании Anthropic и её политики доступа. Если доступ будет ограничен или изменятся условия, компания может остаться без важного инструмента безопасности.
Что проверить до внедрения
Прежде чем принимать решение об использовании подобных инструментов, стоит задать несколько вопросов:
| Вопрос | Что проверить |
|---|---|
| Какие именно уязвимости ищет программа? | Запросите список типов ошибок, которые она находит, и сравните с вашими рисками |
| Какова доля ложных срабатываний? | Попросите данные о точности на вашем типе кода |
| Кто имеет доступ к результатам сканирования? | Уточните политику конфиденциальности и хранения данных |
| Можно ли использовать инструмент без подключения к интернету? | Для компаний с критической инфраструктурой это может быть обязательным условием |
| Какие альтернативы существуют на рынке? | Сравните с открытыми инструментами и продуктами других вендоров |
Что делать прямо сейчас
Даже если ваша компания не участвует в Project Glasswing, вы можете начать подготовку к эпохе, когда поиск уязвимостей станет быстрым и дешёвым.
Проверьте свои процессы. Как быстро ваша команда может исправить найденную уязвимость? Anthropic отмечает, что узким местом становится не поиск, а проверка и исправление найденных проблем.
Начните с малого. Попробуйте Claude Security или аналогичные инструменты на небольшом фрагменте кода, чтобы оценить их эффективность и понять, как они вписываются в ваш процесс разработки.
Обучите команду. Даже самый умный инструмент бесполезен, если команда не умеет интерпретировать его результаты и принимать решения на их основе.
Следите за развитием. Anthropic планирует расширять программу и в будущем сделать Mythos-класс модели доступными для более широкого круга организаций. Если ваша компания работает с критической инфраструктурой, стоит заранее подготовить заявку на участие.
Источники
Темы журнала
Что почитать дальше
- Claude Science от Anthropic: что изменилось и как проверить, стоит ли внедрять в лабораторию
- Claude Fable 5 под экспортным запретом: смена переговорщика в Anthropic и что ждать бизнесу до конца 2025
- Claude пишет 80% кода в Anthropic: почему ревью стало узким местом
- Anthropic Prompt Library: как сэкономить часы на написании запросов к Claude
- Anthropic исследование Claude Code: 4% разницы — риск для production