Компанія Anthropic анонсувала нову систему під назвою Claude Mythos, орієнтовану на виявлення вразливостей нульового дня (zero-day) у програмному забезпеченні. Рішення базується на можливостях великої мовної моделі Claude та, за заявами розробників, здатне імітувати поведінку як захисника, так і потенційного атакувальника.
Що відомо про Claude Mythos
Ключова ідея Claude Mythos – використання генеративного ШІ для моделювання сценаріїв атак, які ще не були зафіксовані в реальному середовищі. Тобто система не шукає відомі патерни вразливостей, а намагається передбачити нові.
Зокрема, модель:
- аналізує код на логічні суперечності та нетипові поведінкові патерни;
- генерує гіпотетичні сценарії експлуатації;
- перевіряє їх на практичну здійсненність;
- допомагає розробникам закрити потенційні “дірки” ще до їх виявлення зловмисниками.
Такий підхід суттєво відрізняється від класичних SAST/DAST-рішень, які здебільшого працюють із вже відомими класами вразливостей.
Чому це важливо
Zero-day вразливості – один із найбільш критичних ризиків для кібербезпеки. Вони не мають сигнатур, не відомі розробникам і часто використовуються в цільових атаках.
Якщо заявлені можливості Claude Mythos підтвердяться на практиці, це означатиме зміщення парадигми:
- від реактивної безпеки — до проактивної;
- від пошуку помилок — до їх прогнозування.
Потенційні ризики
Водночас поява таких інструментів має двосторонній ефект. Технологія, здатна знаходити zero-day, теоретично може бути використана і для їх створення.
Це породжує кілька викликів:
- контроль доступу до подібних систем;
- ризик витоку або зловживання;
- етичні питання використання ШІ в offensive security.
Фактично, індустрія входить у фазу, де ШІ стає повноцінним учасником кіберконфліктів.
Думка редакції
Claude Mythos – логічний крок у розвитку AI-безпеки. Раніше моделі вчилися писати код, тепер – аналізувати його глибше, ніж людина. Наступний етап – автономні системи, які будуть не лише знаходити вразливості, а й автоматично їх виправляти.
Однак ключове питання – інституційне. Хто контролює такі інструменти? Чи зможуть регулятори встигати за швидкістю розвитку ШІ?
У середньостроковій перспективі можна очікувати:
- появу AI-as-a-service для кібербезпеки;
- інтеграцію подібних механізмів у CI/CD пайплайни;
- гонку між AI-захистом і AI-атаками.
У довгостроковій – ймовірно формування нової екосистеми, де безпека програмного забезпечення буде перевірятися не людиною, а іншою моделлю ШІ.
Отже, кібербезпека входить у нову еру, де головним гравцем стає штучний інтелект.
