Anthropic: ИИ строит рабочие эксплойты за часы после выхода патча

Подготовлено редакцией Malakhov AI

The Decoder·7 часов назад·3 минИсследованияИндустрия

Модель Mythos Preview от Anthropic создала 8 работающих цепочек атак на ядро Windows ещё до того, как хотя бы одно устройство успело автоматически получить патч — исследование показывает, что окно между патчем и эксплойтом сократилось с недель до часов.

Кратко

—Mythos Preview взломала 14 из 18 уязвимостей SpiderMonkey, первый proof-of-concept появился через 12 минут после патча.
—Для Windows-ядра модель нашла 18 из 21 уязвимости менее чем за 6 часов при затратах около $2 200 на API.
—8 полных цепочек привилегированного доступа (до уровня SYSTEM) обошлись суммарно в $15 700 — примерно $2 000 за эксплойт.
—Даже публично доступные модели Claude способны строить эксплойты при отключённых фильтрах безопасности.
—Anthropic предлагает заменить термин «N-Day» на «N-Hour» и считает, что классификация Microsoft уязвимостей требует пересмотра.

Глоссарий · 7 терминов▾

Proof-of-concept (PoC): Демонстрационный код, подтверждающий, что уязвимость реально существует и может быть использована, — но не обязательно являющийся готовым оружием.
Privilege escalation: Атака, при которой злоумышленник повышает свои права в системе — например, с обычного пользователя до администратора или уровня SYSTEM.
Patch Tuesday: Регулярный день выпуска обновлений безопасности Microsoft — второй вторник каждого месяца.
SpiderMonkey: Движок JavaScript, встроенный в браузер Firefox и разработанный Mozilla.
Ghidra: Бесплатный инструмент обратной разработки от АНБ США, позволяющий декомпилировать бинарный код в читаемый псевдокод.
N-Day: Термин из кибербезопасности: уязвимость, для которой патч уже выпущен, но часть систем ещё не обновлена; N — число дней с момента выхода патча.
Memory-safe языки: Языки программирования (например, Rust), архитектурно исключающие целые классы ошибок работы с памятью, которые чаще всего становятся источником уязвимостей.

Когда производитель программного обеспечения выпускает патч безопасности, он невольно публикует карту уязвимости: сравнив старый и новый код, атакующий может точно установить, где была ошибка. Раньше на это уходили недели — по данным Mandiant за 2020 год, 16 из 25 уязвимостей эксплуатировались спустя месяц и более после выхода патча. Anthropic решила измерить, насколько LLM меняют этот расклад.

Исследователи протестировали шесть моделей Claude, включая непубличную Mythos Preview. Первый полигон — 18 патчей для SpiderMonkey, движка JavaScript в Firefox. Выбор не случаен: Firefox обновляется автоматически, а Mozilla недавно перешла с ежемесячных на еженедельные минорные релизы. Если даже такое короткое окно уязвимости оказывается достаточным, большинство другого ПО находится в значительно худшем положении.

Модель	SpiderMonkey: крашей из 18	SpiderMonkey: эксплойтов из 18	Windows-ядро: уязвимостей из 21	Полные цепочки до SYSTEM
Mythos Preview	14	8	18	8
Opus 4.8	2 (эксплойта)	2	15	0
Opus 4.6	—	1	—	0
Sonnet 4.6	—	1	13	0
Opus 4.7	—	—	13	0

Mythos Preview воспроизвела краш для 14 из 18 уязвимостей. Первый proof-of-concept появился через 12 минут, ещё 13 — в течение 40 минут. Но краш — лишь подтверждение того, что баг найден. Куда важнее полноценный эксплойт, позволяющий выполнить произвольный код. Здесь Mythos Preview произвела 8 работающих эксплойтов примерно за 12 часов. Первый был готов меньше чем через час после выхода патча — за 18 дней до того, как обновлённый Firefox 148 поступил в публичный релиз. Opus 4.8 справилась с двумя эксплойтами, Opus 4.6 и Sonnet 4.6 — с одним каждая.

Для Windows-ядра модель нашла 18 из 21 уязвимости менее чем за 6 часов при затратах около $2 200 на API.

PoC development timeline for 18 SpiderMonkey CVEs. Mythos Preview (orange) is significantly faster and more successful than all other models. | Image: Anthropic · Источник: The Decoder

Второй тест был принципиально сложнее: 21 уязвимость в ядре Windows из январского и февральского Patch Tuesday 2026 года, каждая позволяет поднять привилегии от ограниченного пользователя до полного администратора. Исходного кода Windows нет — модель работала с скомпилированными бинарниками, публичными отладочными символами, декомпиляцией из инструмента Ghidra и официальными бюллетенями Microsoft. Mythos Preview нашла 18 из 21 уязвимости менее чем за 6 часов при стоимости около $2 200 в API-кредитах. Только она одна сумела собрать полные цепочки атак до уровня SYSTEM — 8 штук суммарно за $15 700, в среднем около $2 000 за эксплойт. Opus 4.8 строила отдельные компоненты атаки, но не смогла объединить их в законченную цепочку.

Отдельно показательна статистика по классификации Microsoft: 14 из 21 уязвимости компания пометила как «маловероятно будет эксплуатироваться» или «вряд ли будет эксплуатироваться». Mythos Preview взломала 13 из этих 14, включая одну с пометкой «unlikely». По мнению Anthropic, рейтинговая система Microsoft откалибрована под возможности человека-исследователя и требует пересмотра с учётом ИИ-инструментов.

Тайминг усугубляет картину. Даже при использовании Windows Autopatch 90% зарегистрированных устройств получают патч через 7 дней, принудительная перезагрузка происходит через 11 дней. Все 8 цепочек атак Mythos Preview были готовы раньше, чем хотя бы одно устройство успело автоматически применить обновление.

Антропик подчёркивает: публично доступные модели Claude тоже способны создавать эксплойты при отключённых фильтрах безопасности — просто с меньшим успехом. Аналогичные возможности, вероятно, есть у моделей других компаний и open-source решений, что существенно расширяет круг потенциальных атакующих.

PoC development for 21 Windows kernel vulnerabilities. Mythos Preview (orange) is the fastest model even without source code access. | Image: Anthropic · Источник: The Decoder

Исследователи признают ограничения: реальная атака включает дополнительные шаги — поиск уязвимых целей, доставку вредоносного кода, обход систем обнаружения. Но самый трудоёмкий этап — разработка эксплойта — теперь занимает часы, а не недели. Термин «N-Day», измеряющий время от патча до эксплойта в днях, Anthropic предлагает заменить на «N-Hour».

Наибольший риск несут системы, которые сложно или медленно обновлять: промышленные контроллеры, медицинские устройства, сетевое оборудование с фиксированными окнами обслуживания. Долгосрочным решением Anthropic называет не ускорение патчинга, а сокращение самих источников ошибок — переход на memory-safe языки вроде Rust или аппаратные защиты, устраняющие целые классы уязвимостей.

Отчёт опубликован до выхода Claude Fable 5 — варианта Mythos с усиленными ограничениями безопасности. Mythos 5 (без тега preview) пока доступна только отобранным Anthropic организациям.

Разобраться глубже

Какие бизнес-процессы автоматизировать с помощью ИИ: матрица и 10 сценариев

Какие процессы реально автоматизировать с помощью ИИ в 2026 году: матрица фильтров эффект×сложность×риск×данные, 10 готовых сценариев, развёрнутый кейс агентства и калькулятор окупаемости поддержки интернет-магазина.

Внедряю ИИ в бизнес — обсудим задачу

Аудит, пилотные проекты, полное внедрение. Начинаем с консультации.

Перейти к услугам

Получать анонсы в Telegram

Ежедневный дайджест лучших материалов об ИИ