„Anthropic" sukūrė įsilaužimo mašiną - ir nusprendė jos neparduoti
Data: 2026 m. balandžio 15 d.
„Anthropic" modelis „Claude Mythos Preview" savarankiškai randa ir išnaudoja saugumo spragas kiekvienos populiarios operacinės sistemos kode - todėl kompanija jo neišleidžia viešai, o suburia technologijų gigantus į skubią gynybinę koaliciją.
Trumpai (TL;DR):
„Anthropic" pristatė galingiausią savo modelį „Claude Mythos Preview", tačiau viešai jo nepublikuoja - per kelias savaites jis savarankiškai surado tūkstančius kritinių saugumo spragų populiariausiose operacinėse sistemose ir naršyklėse.
Vietoj viešo paleidimo suburtas konsorciumas „Project Glasswing", kurį sudaro „AWS", „Apple", „Cisco", „Google", „Microsoft" ir kiti; „Anthropic" prisideda 100 mln. dolerių vertės naudojimo kreditais.
Tai pirmas toks precedentas DI industrijoje: modelis laikomas pernelyg pavojingu masiniam paplitimui, kol gynybinės priemonės nėra pakankamai brandžios.
DI lenktynėse paprastai nugali tas, kuris pirmas paskelbia naują modelį. „Anthropic" modelio „Mythos" egzistavimas pirmą kartą tapo žinomas kovo mėnesį, kai „Fortune" aptiko kompanijos dokumentuose jį apibūdinant kaip „kol kas galingiausią kada nors sukurtą DI modelį". Dabar kompanija padarė kažką neįprasto: turėdama rankose galingiausią kibernetinės atakos įrankį per visą DI istoriją, ji nusprendė jo neišleisti.
Modelis, kuris laužo viską - savarankiškai
Per kelias pastarąsias savaites „Anthropic" panaudojo „Claude Mythos Preview" tūkstančiams iki tol nežinomų saugumo spragų rasti kiekvienos pagrindinės operacinės sistemos ir naršyklės kode. Skaičiai kalba patys už save.
Vienu atveju modelis sukūrė naršyklės atakos kodą, sujungęs keturias atskiras spragas į vieną grandinę. Tarp jų - sudėtinga technika, pralaužusi tiek vaizdinimo aplinkos, tiek operacinės sistemos apsaugos barjerus. Kitais atvejais jis savarankiškai įgijo padidintas teises „Linux" sistemose, išnaudodamas subtilias lenktyniavimo klaidas ir apsaugos mechanizmų apėjimus.
Seniausia rasta spraga gyvavo 27 metus - ji aptikta „OpenBSD" sistemoje, garsioje saugumo reputacija. „Anthropic" puolamųjų tyrimų vadovas Loganas Grahamas patvirtino: modelis ne tik identifikuoja nežinomas spragas, bet ir jas praktiškai išnaudoja. Jis geba vienu ypu rasti kelias neviešintas spragas, parašyti jas išnaudojantį kodą ir sujungti jas į grandines, leidžiančias prasiskverbti į sudėtingas sistemas.
Daugiau kaip 99 procentai rastų spragų dar nėra pataisytos, todėl „Anthropic" negali atskleisti detalių. Tačiau net tas vienas procentas, apie kurį galima kalbėti, rodo esminį šuolį - tokį, kuris reikalauja koordinuotų gynybinių veiksmų visoje industrijoje.
„Project Glasswing": gynybinis konsorciumas vietoj viešo paleidimo
Modelį pirmiausiai išleisdama ribotai technologijų partnerių grupei ir atvirojo kodo kūrėjams, „Anthropic" siekia suteikti gynėjams laiko apsaugoti svarbiausias sistemas - dar prieš tai, kai panašios galimybės taps plačiai prieinamos.
Iniciatyvos partneriai - „Amazon Web Services", „Anthropic", „Apple", „Broadcom", „Cisco", „CrowdStrike", „Google", „JPMorgan Chase", „Linux Foundation", „Microsoft", „NVIDIA" ir „Palo Alto Networks". Be jų, prieiga suteikta dar daugiau kaip 40 organizacijų, kuriančių ar prižiūrinčių kritinę programinę infrastruktūrą.
„Anthropic" įsipareigojo skirti 100 mln. dolerių modelio naudojimo kreditų „Project Glasswing" dalyviams. Pasibaigus tyrimo laikotarpiui, modelis taps prieinamas už 25 dolerius už milijoną įvesties ir 125 dolerius už milijoną išvesties simbolių. Be to, kompanija skyrė 2,5 mln. dolerių „Alpha-Omega" ir „OpenSSF" fondams per „Linux Foundation", bei 1,5 mln. dolerių „Apache Software Foundation" - kad atvirojo kodo palaikytojai galėtų prisitaikyti prie naujos aplinkos.
Kai tas pats įrankis ir gina, ir puola
DI sustiprintų kibernetinių atakų grėsmė yra rimta, tačiau yra ir pagrindo optimizmui: tos pačios galimybės, kurios DI modelius daro pavojingus netinkamose rankose, daro juos itin vertingais randant ir taisant svarbios programinės įrangos klaidas.
Diskusija vis tiek nerimsta. Kibernetinio saugumo ekspertė Katie Moussouris, „Luta Security" įkūrėja, patvirtino: „Tai viskas labai realu." Ji perspėjo, kad pasekmės bus didelės. Užuot išleidusi modelį viešai, „Anthropic" leidžia technologijų kompanijoms - „Microsoft", „Nvidia" ir kitoms - jį naudoti kibernetinei gynybai.
Vien žinia apie modelio egzistavimą sukrėtė industriją. Po „Fortune" pranešimo „CrowdStrike", „Palo Alto Networks", „Zscaler", „SentinelOne", „Okta", „Netskope" ir „Tenable" akcijų kursai krito nuo 5 iki 11 procentų - investuotojai susirūpino, kad galingesni DI modeliai gali sumenkinti tradicinių saugumo sprendimų paklausą.
Europos kontekstas: reguliavimas vėluoja, realybė - ne
„Project Glasswing" pasirodo jautriu metu Europai. ES dirbtinio intelekto akto kitas etapas įsigalios 2026 m. rugpjūčio 2 d. - jis reikalaus automatizuotų audito įrašų, kibernetinio saugumo standartų kiekvienai didelės rizikos DI sistemai, incidentų pranešimo prievolių ir baudų iki 3 procentų pasaulinių pajamų.
Kibernetinio atsparumo aktas (CRA) pradės galioti Europoje nuo 2027 m. Skaitmeninio operacinio atsparumo aktas (DORA) jau veikia nuo 2025 m. sausio ir nustato privalomus techninius valdymo reikalavimus. Kitaip sakant: tuo metu, kai DI įrankiai jau suranda kritines spragas per naktį, Europos reguliavimo sistema dar tik baigia formuotis.
Lietuva, kaip ES narė ir NIS2 direktyvos įgyvendintoja, patenka į tą pačią teisinę erdvę. „Anthropic" pati perspėja: atsižvelgiant į DI pažangos tempą, panašios galimybės netrukus gali paplisti - galbūt ir tarp veikėjų, neįsipareigojusių jų naudoti atsakingai. Pasekmės ekonomikoms, visuomenei ir nacionaliniam saugumui gali būti rimtos.
Hype ar tikras lūžis?
„Anthropic" neseniai atskleidė, kad kompanijos metinių pajamų augimo tempas viršijo 30 mlrd. dolerių - tai trigubas šuolis, palyginti su 2025 m. pabaiga. Verslo klientų, išleidžiančių daugiau nei milijoną dolerių per metus, skaičius viršijo tūkstantį. Skeptikai klausia: ar riboto paleidimo sprendimas yra saugumo reikalas, ar tik gudri rinkodaros priemonė?
„Anthropic" dabar gali rasti ir išnaudoti spragas praktiškai visoje pasaulio svarbioje programinėje įrangoje. Kompanija bando šį langą uždaryti kuo greičiau ir gynėjams suteikti pranašumą prieš įžengiant į visai kitokią erą. Rezultatai bus skelbiami viešai per 90 dienų.
Ponas Obuolys sako:
„Anthropic" sukūrė modelį, kuris per naktį suranda kritines spragas visose jūsų sistemose - ir dabar sako: neišleisime, nes pernelyg pavojinga. Skamba kaip blogas Holivudo filmas, bet tai vyksta realybėje.
Įdomiausia čia ne technologija, o precedentas. Pirmą kartą DI kompanija viešai pareiškia: mūsų modelis yra per galingas visuotiniam prieinamumui. Ne dėl rinkos nepasiruošimo. Ne dėl komercinių priežasčių. Dėl grėsmės. Ir tuo pat metu suburiama gražiausia technologijų sektoriaus koalicija nuo pat pandemijos metų.
Kyla klausimas, kurį turbūt užduoda ir Europos Komisija: kas bus po pusmečio, kai panašius gebėjimus turės ir kiti modeliai - tik galbūt ne tokie atsakingi jų kūrėjai? „Project Glasswing" - tik pirmas akordas labai ilgos simfonijos.
Šaltiniai: „Anthropic / Project Glasswing", „Anthropic Red Team Blog", „Fortune", „NBC News", „VentureBeat", „CrowdStrike Blog", „Simon Willison's Weblog", „The Zvi / Substack".