Когда я прочитал эту новость — перечитал ещё раз. Потом ещё.
Не потому что не понял. Потому что понял слишком хорошо.
9 апреля Anthropic показала новую модель Claude Mythos Preview. Среди всего что она умеет есть один факт который реально меняет правила игры.
ИИ самостоятельно нашёл уязвимость в OpenBSD которую не могли найти 27 лет. Без подсказок. Без команды. И сам написал рабочий код для её эксплуатации.
Я занимаюсь внедрением ИИ в бизнес уже несколько лет. Видел многое. Но вот здесь скажу честно стало неуютно. И я объясню почему это касается вас напрямую.
OpenBSD — это не просто операционная система
Её используют банки, военные, государственные структуры. Именно потому что она исторически считается неприступной.
27 лет лучшие специалисты в области кибербезопасности искали в ней слабые места. Автоматические сканеры перебирали код строчку за строчкой. Безрезультатно.
Claude Mythos нашёл тонкую уязвимость в реализации протокола TCP SACK. Она позволяла удалённо вызывать критический сбой серверов. Просто отправив специально сформированный пакет данных.
Это не всё. В рамках того же тестирования модель обнаружила 17-летнюю уязвимость во FreeBSD и написала полный рабочий эксплойт с получением прав администратора. Нашла критические слабости в криптографических библиотеках TLS и SSH — протоколах которые прямо сейчас защищают банковские переводы и корпоративную переписку миллионов компаний. Выявила zero-day уязвимости сразу в нескольких браузерах.
Всё это за время закрытого тестирования. Без выхода в интернет.
Что за этим стоит на самом деле
Большинство комментариев которые я читал после этой новости делятся на два лагеря.
Первый говорит что это прорыв и теперь ИИ защитит нас лучше людей. Второй кричит что это конец и ИИ взломает всё вокруг.
Оба не точны.
Вот как я это понимаю как практик. ИИ стал инструментом поиска уязвимостей который не устаёт и не отвлекается. Он может часами анализировать код который опытный специалист просмотрит по диагонали. Это означает что кибербезопасность теперь гонка вооружений на принципиально новом уровне.
Хорошая новость в том что найденные уязвимости Anthropic уже передала разработчикам OpenBSD и FreeBSD. Патчи выходят. Это правильно и именно так должна работать ответственная разработка.
Плохая новость в том что похожие инструменты уже попадают к злоумышленникам. По прогнозу Positive Technologies глобальный ущерб от киберпреступности в 2026 году достигнет 11,9 триллиона долларов. Это не опечатка. Триллионов.
Теперь про то что реально касается вашего бизнеса
История про 27-летнюю уязвимость в OpenBSD впечатляет. Но есть кое-что куда ближе и куда опаснее для большинства российских компаний.
Апрель 2026 года. Компания Vercel потеряла данные не через сложную атаку на инфраструктуру. Один сотрудник подключил ИИ-приложение к корпоративному Google Workspace и дал ему полные права доступа к почте, диску и документам. Когда разработчиков этого приложения взломали, злоумышленники получили доступ ко всей инфраструктуре Vercel через OAuth-токен того самого сотрудника. Данные компании выставили на продажу за 2 миллиона долларов.
По данным IBM Cost of Data Breach Report за 2025 год, 13% всех корпоративных утечек прошли именно через ИИ-системы и ИИ-интеграции. Средняя стоимость одного такого инцидента составила 4,88 миллиона долларов. По оценкам Lakera, 73% задеплоенных ИИ-агентов уязвимы к тем или иным видам атак.
Пока вы читаете эту статью, ваши сотрудники подключают ИИ-инструменты к корпоративным аккаунтам. Без злого умысла. Просто потому что удобно и никто не сказал что нельзя.
Что делать прямо сейчас
Не буду заканчивать словами про осторожность. Это бесполезно. Дам конкретику.
Первое. Проведите инвентаризацию ИИ-инструментов в вашей компании. Какие сервисы используют сотрудники? К каким корпоративным данным они подключены? У большинства компаний ответа нет. Это и есть главная уязвимость. Не в OpenBSD, не в FreeBSD. В вашем офисе.
Второе. Введите принцип минимальных прав для любого ИИ-приложения. Инструмент для обработки текстов не должен иметь доступ к корпоративной почте и финансовым документам. Давайте ровно столько прав сколько нужно для конкретной задачи. Пересматривайте раз в квартал.
Третье. Обновляйте системы без откладывания. Звучит банально. Но 17-летняя уязвимость во FreeBSD существовала именно потому что кто-то годами откладывал обновления. После выхода патча обновляйтесь в течение недели максимум.
Четвёртое. Обучите сотрудников базовым правилам работы с ИИ-инструментами. Не техническому аудиту, а простым правилам: не давать сторонним приложениям полный доступ к корпоративным аккаунтам, проверять разработчика инструмента перед установкой, сообщать о подозрительном поведении приложений.
ИИ нашёл то что скрывалось 27 лет. Следующий вопрос простой: что скрывается в вашей инфраструктуре и кто это найдёт первым?
Артём Демидов, основатель AINEX LAB. Занимаюсь внедрением ИИ в бизнес и знаю как сделать это без лишних рисков.
Хотите внедрить ИИ безопасно?
Скачайте книгу: Тебя заменят. Смирись или адаптируйся
Ведёте Telegram-канал? Дублируйте в MAX бесплатно до 1 июня:
TG2MAX
Подписывайтесь: t.me/ainexlab
Поддержать: Донат на Дзен