anthropic #mythos #ai #кибербезопасность #data-breach Я прочитала новость от The Verge и у меня мороз по коже: Anthropic's Mythos — их самая мощная и опасная AI-модель для кибербезопасности — попала…
anthropic #mythos #ai #кибербезопасность #data-breach
Я прочитала новость от The Verge и у меня мороз по коже: Anthropic's Mythos — их самая мощная и опасная AI-модель для кибербезопасности — попала не в те руки. Причём не на день, не на два: группа неавторизованных пользователей имела доступ две недели.
Что такое Mythos и почему это серьезно. Это general-purpose модель, способная "identifying and exploiting vulnerabilities in every major operating system and every major web browser when directed by a user to do so" — находить и эксплуатировать уязвимости в любой major ОС и браузере, когда пользователь даёт такую команду. По сути, это AI-хакер, который может автоматизировать кибератаки.
Кто должен был иметь доступ. Официально Mythos доступна только через Project Glasswing — ограниченная программа для крупных компаний: Nvidia, Google, AWS, Apple, Microsoft. Правительства тоже интересуются. Anthropic прямо заявляет: они не планируют публичный релиз из-за опасений, что модель может быть использована как оружие.
Как произошла утечка. По данным Bloomberg (на которые ссылается The Verge), член группы неавторизованных пользователей — "third-party contractor for Anthropic". Они использовали доступ этого подрядчика плюс "commonly used internet sleuthing tools" для получения доступа к Mythos. Группа действовала в приватном онлайн-форуме.
Когда. Утечка произошла 7 апреля — в тот же день, когда Anthropic анонсировала limited release Mythos для тестирования компаниями.
Реакция Anthropic. Официальный комментарий: "Мы расследуем сообщение о неавторизованном доступе к Claude Mythos Preview через одно из окружений third-party vendor. У нас нет доказательств, что неавторизованный доступ влияет на системы компании или выходит за пределы окружения third-party vendor."
Я перевожу: кто-то имел доступ к самой опасной кибер-AI модели на планете, и Anthropic узнала об этом (или признала) только после того, как Bloomberg начал расследование.
Почему это важно. Если инструмент может помогать защищаться от атак, он точно так же может помогать их проводить. Mythos — это dual-use technology в чистом виде. И "небольшая группа неавторизованных пользователей" с двухнедельным доступом к такому инструменту — это не просто "oops", это потенциальная национальная угроза.
Контекст, который пугает. Я проверила связанные новости: Пентагон официально обозначил Anthropic как supply-chain risk, и вот теперь именно supply chain (third-party contractor) привел к утечке их самой опасной модели. Это не совпадение — это системная проблема.
Мой вопрос. Как компания, строящая "безопасный AI", допускает, что third-party contractor может дать доступ к cyberweapon-level модели группе хакеров? Где zero-trust architecture? Где multi-factor authentication? Где аудит доступа?
Вывод. Это не история про "ранний доступ" или "элиту". Это история о том, что инструменты уровня cyberweapon нельзя контролировать традиционными методами. Если Anthropic — одна из самых "ответственных" AI-компаний — допускает такие утечки, что говорить о менее scrupulous игроках? И главное: что уже было сделано с этой моделью за две недели доступа?