Що трапилося?

Компанія Anthropic оголосила про новий штучний інтелект під назвою Claude Mythos Preview. Вони перевіряли його можливості протягом кількох тижнів, і результати виявилися настільки вражаючими та тривожними, що вчені вирішили написати детальний технічний звіт — щоб сфера кібербезпеки могла підготуватися до того, що відбувається.

Головне відкриття звучить приголомшливо: Mythos Preview самостійно знаходить невідомі вразливості у найкритичнішому програмному забезпеченні планети — і сам же перетворює їх на робочу зброю. Браузери, якими користуються мільярди людей. Операційні системи, що тримають інтернет-інфраструктуру. Бібліотеки шифрування, що захищають банківські транзакції. Все це він може зламати — і, що важливо, зробити це раніше, ніж хтось встигне полагодити.

Стоп. Що таке вразливість?

Будь-яка програма — це мільйони рядків коду, написаних людьми. А люди помиляються. Іноді в коді є помилка, яка при певних умовах дозволяє зловмиснику робити те, чого він робити не повинен: читати чужі паролі, отримувати права адміністратора, виводити з ладу сервери.

Таку помилку і називають вразливістю (або «дірою» у безпеці).

Якщо про неї ніхто не знає — вона називається zero-day (нульовий день). Назва метафорична: у власників програми є «нуль днів», щоб підготуватися до захисту, бо вони про неї навіть не підозрюють.

Якщо про вразливість вже знають, але більшість систем ще не отримала виправлення — це N-day.

Помилка, яку не бачили 27 років

Щоб відчути масштаб того, що відбувається, — ось один конкретний приклад.

OpenBSD — це операційна система не для домашніх комп’ютерів. Вона живе всередині файрволів, маршрутизаторів і серверів, які тримають мережеву інфраструктуру. Її головна риса — безпека. Не швидкість, не зручність, а саме безпека. Перші п’ять слів у Вікіпедії про неї: «OpenBSD — операційна система, орієнтована на безпеку». Тисячі найкращих фахівців роками перечитували її код по рядку.

У 1998 році в OpenBSD з’явилася реалізація протоколу TCP/IP з функцією, яка називається SACK (вибіркове підтвердження). Уявіть, що ви отримуєте посилку по частинах: SACK дозволяє одержувачу сказати відправнику «я отримав пакети 1, 2, 5 і 6, але мені бракує 3 і 4» — замість того щоб просто мовчати і чекати. Це прискорює передачу даних.

Швидше, розумніше, економніше.

Ось у цій логіці і ховалася пастка.

Щоб зрозуміти її, потрібно знати одну річ: числа у комп’ютерах мають «стелю». 32-бітне ціле число може бути максимум приблизно 2,1 мільярда. Якщо ви додасте до нього ще одиницю — воно «переповниться» і стане великим від’ємним числом. Як лічильник на старому спідометрі, що переходить з 99999 назад на 00000.

Mythos Preview знайшов такий ланцюжок:

1. Перша помилка: система не перевіряла, чи починається SACK-блок у межах допустимого діапазону. Сама по собі — майже нешкідлива.
2. Друга помилка: при певних умовах, якщо SACK-блок одночасно видаляє останній «пробіл» у списку і ініціює додавання нового — код намагається записати дані за нульовим вказівником. Нульовий вказівник — це адреса, куди записувати нічого не можна.
3. Але щоб одночасно виконати обидві умови — початок пакету повинен бути одночасно нижче одного значення і вище іншого. Одне число не може бути двома числами водночас… якщо тільки не відбувається той самий «переповнення лічильника».

Зловмисник надсилає спеціально сформований пакет — з числом, яке знаходиться рівно на краю арифметичного переповнення. Система робить два порівняння і в обох випадках отримує неправильну відповідь: переповнення «обманює» математику. Код намагається записати дані за адресою, якої не існує. Ядро операційної системи падає.

Сервер вимикається. Дистанційно. Без пароля. Без фізичного доступу. Просто — одним пакетом з інтернету.

Цю комбінацію з двох непомітних помилок не знаходили 27 років. Тисячі фахівців. Постійні аудити. Репутація найзахищенішої системи у світі.

Mythos Preview знайшов її за кілька годин. І навіть не здивувався.

І це не единий випадок

FFmpeg — бібліотека для обробки відео, яку використовує буквально кожен великий сервіс у світі. YouTube, Netflix, TikTok — всі вони тією чи іншою мірою залежать від неї. По коду FFmpeg пройшлися сотні дослідників безпеки та мільйони автоматичних «фазерів» (програм, які надсилають випадкові дані і дивляться, чи впаде система).

У 2003 році в код H.264-кодека було закладено помилку. У 2010 році після рефакторингу вона стала по-справжньому небезпечною. Відтоді — 16 років — її ніхто не бачив.

Mythos Preview знайшов її.

Уявіть журнал відвідувань у школі. Кожна клітинка — учень, у клітинці — номер класу, до якого він належить. Якщо учень ще не розподілений — у клітинці стоїть спеціальна позначка: «999». Мовляв, порожньо.

Тепер уявіть, що класів може бути максимум 998. Усе працює чудово. Але що буде, якщо хтось створить школу з рівно 999 класами? Клас №999 отримає той самий номер, що й позначка «порожньо». Журнал більше не розрізняє: «тут учень із класу 999» і «тут взагалі нікого немає».

Саме це і відбувалося у FFmpeg.

Декодер відео веде таблицю: який «зріз» кадру містить кожен блок пікселів. Порожні клітинки позначені числом 65535 — «тут нічого немає». Але якщо відеофайл містить рівно 65536 зрізів, останній отримує номер 65535 — і стає невідрізнений від порожнечі. Декодер «бачить» сусідній блок там, де його немає, і пише дані за межі виділеної пам’яті.

Помилка існувала з 2003 року. Дірою стала у 2010-му після рефакторингу. Жоден фазер за 16 років її не виявив.

Чому це так приголомшливо?

Раніше знайти подібні вразливості могла тільки дуже вузька еліта: фахівці з роками досвіду, глибоким знанням архітектур процесорів, операційних систем, мережевих протоколів. Це як нейрохірург серед програмістів.

Такій людині на пошук однієї серйозної вразливості потрібні тижні або місяці.

Mythos Preview знаходить їх за години. Автономно. Паралельно. Цілодобово.

Цифри говорять краще за будь-які слова.

Дослідники взяли вразливості у браузері Firefox і попросили обидві моделі самостійно написати робочий exploit. Завдання однакове, умови однакові.

Opus 4.6 — потужна, зріла модель — впоралася двічі з кількох сотень спроб. По суті, нуль.

Mythos Preview зробив це 181 раз.

Не «покращився на відсоток». Не «показав кращі результати в окремих тестах». У дев’яносто разів більше — на тому самому завданні. Це не еволюція моделі. Це зміна класу можливостей.

Як він це робить?

Дослідники запускали Mythos Preview у ізольованому контейнері — як у карантині, без доступу до інтернету. Давали просту інструкцію: «Знайди вразливість у цій програмі». Далі модель діяла самостійно:

• Читала код, шукаючи підозрілі місця
• Висувала гіпотези: «Якщо я надішлю ось таке значення, що відбудеться?»
• Запускала програму, щоб перевірити гіпотезу
• Додавала налагоджувальні інструменти, щоб зрозуміти, що відбувається всередині
• Уточнювала підхід і повторювала — до тих пір, поки не знаходила щось реально вразливе

Потім інший примірник Mythos Preview перевіряв знахідку: «Це справжня проблема чи нісенітниця?»

Нічого людського в цьому процесі не було — тільки початковий промпт.

Але ж AI і раніше шукав вразливості?

Попередні інструменти знаходили очевидні речі. «Тут рядок не перевіряється на довжину». «Тут SQL-запит складається простою склейкою тексту». Такі помилки вже давно ловить автоматика — це рутина.

Але є інший клас вразливостей. Той, де жоден окремий рядок коду формально не є неправильним. Де небезпека народжується з взаємодії трьох компонентів, написаних у різні роки різними людьми з різними припущеннями. Де щоб побачити проблему, потрібно одночасно тримати в голові математику числового переповнення, поведінку системи управління пам’яттю і деталі мережевого протоколу — і розуміти, як саме вони зіштовхуються.

Раніше таке міг знайти тільки дуже вузький клас фахівців. Люди, яких у світі буквально кілька тисяч.

Mythos Preview робить це серійно.

Добре, він знаходить дірки. А що далі?

Знайти вразливість — це половина справи. Перетворити її на реальний робочий «зломщик» (exploit) — зовсім інший рівень складності.

Уявіть: ви знайшли тріщину в стіні банку. Але щоб через неї потрапити всередину, потрібно знати, де точно тріщина, на скільки вона широка, як туди влізти, що робити з сигналізацією, де знаходиться сховище. Це вже не пошук — це інженерія.

Mythos Preview вміє і це.

Дослідники дали йому список зі 100 відомих вразливостей у ядрі Linux (вже виправлених, для безпеки). Він самостійно:

1. Відфільтрував 40 потенційно придатних для атаки
2. Для кожної написав повноцінний exploit — програму, яка автоматично отримує права адміністратора
3. Більше половини спроб завершилися успіхом

Один із цих exploitів потребував 20-крокового ланцюжка ROP (техніки обходу захисту, де зловмисник «склеює» крихітні шматки чужого коду, щоб виконати власні дії), розділеного між кількома мережевими пакетами.

Інший — у браузері — поєднував чотири вразливості, застосовував JIT heap spray (спосіб захопити контроль над виконуваним кодом у браузері) і вирвався за межі одразу двох рівнів захисту.

Людині-фахівцю такий exploit потрібні тижні. Mythos Preview написав його автономно, поки всі спали.

Це вже використовується для атак?

Поки що — ні. Mythos Preview не доступний широкому загалу. Anthropic свідомо обмежила доступ і запустила спеціальну програму Project Glasswing — партнерство з розробниками критичного програмного забезпечення, яким передаються знайдені вразливості до того, як вони стануть відомі зловмисникам.

Зі знайдених вразливостей менше 1% вже виправлено — просто тому що процес перевірки і повідомлення розробників займає час. Тому про більшість деталей автори не можуть розповісти публічно.

Чому вони взагалі про це розповідають?

Логіка проста: якщо Anthropic вже це вміє — значить, незабаром подібні можливості з’являться у конкурентів, у дослідників, а потім і у зловмисників. Якщо мовчати, захисники будуть застигнуті зненацька. Якщо говорити відкрито — є шанс підготуватися.

Автори проводять паралель з двома попередніми революціями у безпеці: у 2006 році був оголошений конкурс SHA-3 на новий алгоритм хешування — хоча SHA-2 ніхто ще не зламав. А у 2016 році NIST запустив розробку постквантової криптографії — хоча потужних квантових комп’ютерів тоді ще не існувало. Зараз — те саме. Але загроза вже не гіпотетична.

Хто виграє — нападники чи захисники?

Це найцікавіше питання.

Автори вважають, що у довгостроковій перспективі виграють захисники. Той, хто захищає, може використовувати AI, щоб знайти і залатати всі вразливості в коді до того, як він вийде у виробництво. Це фундаментально змінює гру: замість реакції на атаки — проактивне усунення слабких місць.

Але перехідний період буде важким. Поки захисники навчаться ефективно використовувати ці інструменти, а уражені системи не будуть полатані, зловмисники отримують вікно можливостей.

Схожа ситуація була з фазерами на початку 2000-х. Коли з’явилися автоматичні інструменти для «бомбардування» програм випадковими даними, спочатку це злякало: «тепер хакери знайдуть усі дірки!» Але в результаті ці ж інструменти стали стандартом захисту. Сьогодні Google’s OSS-Fuzz автоматично захищає тисячі open-source проектів.

З AI буде так само — але перехід болючіший і швидший.

Що це означає на практиці?

Автори дають конкретні поради.

• По-перше, оновлюйте системи швидше: Mythos Preview перетворює відому публічну вразливість на робочий exploit автономно. Те, що раніше займало у хакера тижні, тепер займає години.
• По-друге, автоматизуйте оновлення — якщо є можливість увімкнути автоматичне оновлення, вмикайте.
• По-третє, власники критичних систем мають переглянути свою стратегію: як ви будете діяти, якщо у старій системі, яку ніхто вже не підтримує, знайдуть критичну вразливість? І нарешті, компанії з кібербезпеки мають починати впроваджувати AI у свої процеси — не просто для написання звітів, а для автоматичного аналізу інцидентів та реагування на атаки.

Найголовніше

У світі відкритого програмного забезпечення є відома фраза: «За достатньої кількості очей усі помилки стають очевидними». Логіка проста — чим більше людей дивиться на код, тим більше знаходять.

Але у людей є межі. Вони втомлюються. Відволікаються. Пропускають сорок сьому сторінку, бо вже прочитали сорок шість.

Mythos Preview не втомлюється. Він не «пробігає очима» — він читає кожен рядок з однаковою увагою о третій ночі і о третій дня. Паралельно. Тисячами копій одночасно. І не зупиняється, поки не перебере всі комбінації.

Помилка, що ховалася 27 років, ховалася не тому що була неможливою для пошуку. А тому що потрібна була нелюдська терплячість, щоб її знайти.

Тепер така терплячість є.