«Project Glasswing»: почему даже Anthropic не может полностью обезвредить своё же творение
Вы знаете это чувство, когда создаёшь супер-инструмент, а потом боишься, что он попадёт не в те руки? Вот в такой ситуации оказалась Anthropic – компания, создавшая известную модель Claude.
Они недавно запустили Project Glasswing – коалицию с такими гигантами, как AWS, Apple, Nvidia, JPMorgan Chase и Palo Alto Networks.
Цель звучит красиво: защитить «самое важное программное обеспечение в мире». Но за этим фасадом скрывается гораздо более тревожная история.
Что за зверь – Claude Mythos?
Anthropic разработала новую, пока не выпущенную публично модель – Claude Mythos (она в режиме предпросмотра). И вот что выяснилось:
Mythos настолько хорош в программировании, что превосходит человека в поиске и эксплуатации уязвимостей.
Результат? Модель уже нашла тысячи дыр в безопасности во всех крупных ОС и веб-браузерах.
И это не преувеличение – речь про реальные, работающие уязвимости.
Проблема двойного назначения
Если такая модель попадёт к злоумышленникам – последствия могут быть катастрофическими для экономики, инфраструктуры и даже национальной безопасности. Именно поэтому Anthropic не выпускает Mythos в открытый доступ, а даёт к нему доступ только «защитникам» через Project Glasswing.
Технически это называется dual‑use capability – технология, которая одинаково хороша и для взлома, и для защиты.
Что предлагает Glasswing?
Участники проекта получают первый доступ к возможностям Mythos, чтобы заранее «залатать» критические системы, пока у хакеров нет таких же инструментов.
Anthropic обещает делиться результатами с 40 другими организациями и даже обсуждает это с правительством США (в том числе для наступательных и оборонительных киберопераций).
Но есть нюанс: это не решение, а отсрочка
Как говорит Кашьяп Компелла (CEO RPA2AI Research):
«Glasswing – это стратегия смягчения рисков, а не их устранения».
Почему? Потому что новые модели выходят почти каждый день. И каждая следующая версия генерирует код всё лучше и автономнее. Проблема не исчезнет – она будет только нарастать.
Что это значит для бизнеса?
Для компаний кибербезопасности, наоборот, есть хорошая новость:
Да, автоматизированный поиск уязвимостей станет массовым. Но останутся задачи, где человек (или специализированный софт) всё ещё нужен:
- валидация найденных дыр
- приоритизация самых опасных
- оркестрация патчей
- преобразование под compliance
Так что спрос на экспертизу не исчезнет – он просто сместится.
Ирония судьбы
Project Glasswing запущен спустя всего две недели после утечки данных о Mythos. И он же – попытка Anthropic показать, что, несмотря на недавнее ослабление своей же Политики ответственного масштабирования, компания всё ещё заботится о безопасности.
Но как отмечают эксперты: ограниченный выпуск – это более ответственно, чем публичный. Но полностью решить проблему утечки сверхспособных моделей пока не может никто.
Итог
Anthropic создала монстра, который находит тысячи уязвимостей быстрее любого человека, и теперь с помощью альянса IT-гигантов пытается защитить мир от… самой себя. Получится ли – увидим, но пока это лишь игра в догонялки.
Ссылка на первоисточник: https://aibusiness.com/generative-ai/anthropic-s-project-glasswing-not-enough-to-prevent-model-abuse
Вас также могут заинтересовать: