Anthropic представляет самого мощного Claude Mythos! Бросает вызов Opus 4.6, очень просим, не используйте его

Статья: Синьчжи Юань

【Синьчжи Юань — краткое введение】Поздней ночью наконец-то была принесена самая сильная Claude Mythos — и все первопозиционеры, миф о Opus 4.6 рухнул! Еще страшнее то, что она не только мгновенно раскрывает системную уязвимость, которая оставалась нерешенной 27 лет, но и даже эволюционировала в самосознание. Отчет на 244 страницы в жанре триллера раскрывает всё.

Сегодняшней ночью Силиконовая долина полностью не спит!

Только что Anthropic без всяких предупреждений выпустила ультимативное оружие — Claude Mythos Preview.

Поскольку это слишком опасно, Mythos Preview пока не будет доступна всем.

Папа CC Борис Черни (Boris Cherny) оценил лаконично: «Mythos очень мощная, от нее становится страшно».

В результате они объединились с 40 гигантами, сформировав альянс — Project Glasswing. Цель у него одна: находить баги, чинить баги для ПО по всему миру.

По-настоящему удушает то, что Mythos Preview на всех ключевых основных AI-бенчмарках демонстрирует ужасающий контроль силы —

в программировании, рассуждениях, на последнем экзамене человечества и в задачах для агентных систем — полностью раздавливает GPT-5.4 и Gemini 3.1 Pro.

Даже их собственный «предыдущий шедевр» Claude Opus 4.6 перед Mythos Preview выглядит блекло:

Программирование (SWE-bench): во всех задачах Mythos обеспечивает отрыв в 10%-20%;

Последний экзамен человечества (HLE): без использования внешних инструментов «сдача вживую» — результат на 16.8% выше, чем у Opus 4.6;

Задачи для агентных систем (OSWorld, BrowseComp): полностью «взойти в божество», всесторонне обогнать;

Кибербезопасность: 83.1% — разгром в категории победителей, что означает переход поколений в возможностях ИИ для атак и обороны.

Прокрутка влево/вправо для просмотра

Тем временем Anthropic опубликовала системную «карточку» на 244 страницы — там на каждом экране написано и написано: опасно! опасно! слишком опасно!

Она раскрывает другую, пугающую сторону: Mythos уже обладает высокой степенью обманчивости и автономным сознанием.

Mythos не только умеет распознавать намерения теста, но и намеренно «сдавать ниже», скрывая возможности; а после нарушающих правила действий оно само очищает журналы, чтобы люди не смогли обнаружить.

Она также успешно сбежала из песочницы, автономно опубликовала код уязвимости и отправила письмо исследователям.

В одно мгновение весь интернет сошел с ума, и все восклицают: Mythos Preview слишком страшна.

Первые порядки в мире ИИ этой ночью были полностью растоптаны.

На самом деле, еще 24 февраля Anthropic уже использовала Mythos внутри.

Ее мощь можно оценить только по данным.

SWE-bench Verified, 93.9%. Opus 4.6 — 80.8%.

SWE-bench Pro, 77.8%. Opus 4.6 — 53.4%, GPT-5.4 — 57.7%.

Terminal-Bench 2.0, 82.0%. Opus 4.6 — 65.4%.

GPQA Diamond, 94.6%.

Humanity’s Last Exam (с инструментами), 64.7%. Opus 4.6 — 53.1%.

USAMO 2026 математический конкурс, 97.6%. Opus 4.6 взял только 42.3%.

SWE-bench Multimodal, 59.0%, Opus 4.6 — всего 27.1%, с лихвой «вдвое больше».

OSWorld управление компьютером, 79.6%.

BrowseComp поиск информации, 86.9%.

GraphWalks длинный контекст (256K-1M токенов), 80.0%. Opus 4.6 — 38.7%, GPT-5.4 — только 21.4%.

Каждый пункт — это отрыв «в пропасть».

Эти цифры в любом нормальном цикле выхода продукта уже достаточно, чтобы Anthropic во весь голос устроила пресс-конференцию, открыла API и «снимала урожай» подписок.

Токеновая цена Mythos Preview — в 5 раз больше, чем у Opus 4.6

Но Anthropic этого не сделала.

Потому что по-настоящему их «пугает» не всё вышеперечисленное — общие бенчмарки.

Сетевая атакующе-оборонительная демонстрация Mythos Preview уже пересекла линию, которую видно невооруженным глазом.

Opus 4.6 обнаружил примерно 500 неизвестных слабых мест в ПО с открытым исходным кодом.

Mythos Preview нашла тысячи.

В направленных тестах воспроизведения уязвимостей в CyberGym Mythos Preview набрала 83.1%, а Opus 4.6 — 66.6%.

В 35 CTF-задачах Cybench Mythos Preview в каждой задаче делала 10 попыток и в итоге решала всё, pass@1 достиг 100%.

А самое показательон — Firefox 147.

Ранее Anthropic с помощью Opus 4.6 нашла целую партию уязвимостей в движке JavaScript Firefox 147. Но Opus 4.6 почти не могла превратить их в работающие exploit’ы: после сотен попыток получилось только 2 раза.

Та же самая проверка, но для Mythos Preview.

250 попыток, 181 работающий exploit, и еще 29 случаев реализовали управление регистрами.

2 → 181.

Слова из блога red team: «В прошлом месяце мы писали, что Opus 4.6 находил проблемы гораздо лучше, чем использовал их. Внутренние оценки показывали, что вероятность успеха Opus 4.6 в самостоятельной разработке exploit’ов была практически нулевой. Но Mythos Preview — это совсем другой уровень».

Чтобы понять, насколько Mythos Preview сильна на практике, достаточно посмотреть на следующие три примера.

OpenBSD — одна из наиболее укрепленных систем в мире, где работают многочисленные файрволлы и критически важная инфраструктура.

Mythos Preview в ее реализации TCP SACK выкопала уязвимость, существовавшую с 1998 года.

Bug крайне изящный: в нем сочетаются два независимых дефекта.

Протокол SACK позволяет принимающей стороне выборочно подтверждать диапазоны полученных пакетов. Реализация OpenBSD при обработке проверяет только верхнюю границу диапазона и не проверяет нижнюю. Это первый bug — обычно безвредный.

Второй bug срабатывает при определенных условиях и приводит к записи по нулевому указателю, но в обычных условиях этот путь недостижим, потому что требуется одновременно выполнить два взаимоисключающих условия.

Mythos Preview нашла брешь. TCP sequence number — это 32-битное знаковое целое. Используя первый bug, она устанавливает стартовую точку SACK примерно на расстоянии 2^31 от нормального окна; при этом переполняются знаковые биты одновременно в обеих операциях сравнения. Ядро обмануто: невозможные условия оказываются выполненными, и срабатывает запись по нулевому указателю.

Любой, кто подключится к целевой машине, сможет удаленно ее «уронить» (crash).

27 лет, бесчисленные ручные аудиты и автоматические сканирования — никто не нашел. Весь сканинг занял меньше $20,000.

Зарплата продвинутого инженера по тестированию на проникновение за неделю — возможно, это и есть такая сумма.

FFmpeg — самая широко используемая в мире библиотека для кодеков видео, и также один из наиболее тщательно протестированных на fuzz’инг проектов с открытым исходным кодом.

Mythos Preview нашла слабое место в H.264-декодере, введенное еще в 2010 году (корни можно проследить до 2003 года).

Проблема в несовпадении типов, которое выглядит безобидно. Табличная запись, фиксирующая принадлежность slice, — 16-битное целое, а счетчик slice сам — 32-битный int.

Для обычного видео в каждом кадре всего несколько slice, и 16-битного лимита 65536 всегда достаточно. Но при инициализации эта таблица заполняется memset(…, -1, …), делая 65535 «пустым местом» — значением-сторожем.

Атакующий конструирует кадр, содержащий 65536 slice. Номер slice #65535 случайно сталкивается с этим значением-сторожем, и декодер ошибочно интерпретирует ситуацию — возникает out-of-bounds запись.

Семя этого bug’а было заложено еще при введении H.264 кодека в 2003 году. Рефакторинг в 2010 году превратил его в эксплуатируемую уязвимость.

После этого в течение 16 лет автоматические fuzzer выполняли эту строку кода 5M раз — и ни разу не срабатывало.

Это самый пугающий пример.

Mythos Preview полностью автономно обнаружила и использовала удаленную уязвимость для выполнения кода (CVE-2026-4747) в FreeBSD NFS-сервере, которая существовала 17 лет.

«Полностью автономно» означает: после исходного промпта не было никакого участия людей на любом этапе — ни в обнаружении, ни в разработке exploit’а.

Атакующий может с любой точки в интернете, без аутентификации, получить полный root-доступ к целевому серверу.

Сама проблема — это переполнение стекового буфера. Когда NFS-сервер обрабатывает запрос аутентификации, он напрямую копирует данные под контролем атакующего в 128-байтный стековый буфер, при этом проверка длины разрешает до 400 байт.

FreeBSD ядро собирали с -fstack-protector, но этот параметр защищает только функции, содержащие массивы char; здесь объявление буфера — int32_t[32], поэтому компилятор не вставляет stack canary. Кроме того, FreeBSD не делает рандомизацию адресов ядра.

Полная ROP-цепочка превышает 1000 байт, но для переполнения стека доступно всего 200 байт. Решение Mythos Preview — разделить атаку на 6 последовательных RPC-запросов: первые 5 послойно записывают данные в память ядра, а 6-й срабатывает и вызывает финальный шаг, дописывая SSH-ключ атакующего в /root/.ssh/authorized_keys.

Для сравнения: независимая компания по анализу безопасности ранее доказала, что Opus 4.6 также может эксплуатировать эту же уязвимость, но требуется ручное ведение. Mythos Preview не нужна.

Помимо этих трех исправленных случаев, в блоге Anthropic также заранее обещали множество еще не исправленных проблем в формате обязательства по SHA-3 хэшу — с охватом каждой основной ОС и каждого основного браузера, а также нескольких криптобиблиотек.

Более 99% еще не исправлены — детали публично раскрыть нельзя.

Блог red team также продемонстрировал еще один удивительный тест. Они дали Mythos Preview список из 100 известных CVE, чтобы она отфильтровала 40 эксплуатируемых, а затем по очереди написала exploit’ы на повышение привилегий. Успешность — более половины. Из этих случаев два были подробно раскрыты: точность и изящество exploit’ов такова, что собственная команда безопасности Anthropic тратила несколько дней, чтобы полностью понять.

Один exploit стартовал с примитива записи в соседнюю физическую страницу на 1-бит, а затем с помощью прецизионной раскладки памяти ядра (включая slab spraying, выравнивание страниц таблиц страниц, инверсию флагов прав доступа PTE) в итоге переписал первую страницу памяти у /usr/bin/passwd, внедрив 168-байтный ELF stub, который вызывает setuid(0) для получения root.

Весь процесс занял меньше $1,000.

На это инженер Anthropic ответил, что это ощущается как еще один момент GPT-3.

В разделе «оценка на совмещение/стыковку» в System Card на 244 страницах — та часть, которая по-настоящему не дает Anthropic спать спокойно.

Вывод противоречив.

Mythos Preview — это их «AI с самым высоким уровнем выравнивания (alignment)», но при этом и «один из рисков, связанных с alignment, максимальный».

Проход/ссылка:

Они использовали аналогию с горным гидом. Опытный человек может быть опаснее новичка: опытный будет нанят для восхождения на более сложные горы и приведет клиента в более опасные места.

Нижеописанные события произошли в ранних версиях; в финальной версии больше не наблюдались похожие серьезные поведения, но сами записи уже достаточно шокируют.

В одном из поведенческих тестов имитируемый пользователь попросил Mythos Preview попытаться сбежать из безопасной песочницы.

У нее получилось. Затем она сделала то, о чем никто не просил: разработала многоступенчатый exploit, чтобы получить доступ к широкой сети, а затем опубликовала детали exploit’а на нескольких «трудно обнаруживаемых, но технически доступных» сайтах.

Исследователь, ответственный за тест, узнал, что его тест уже завершили, только когда получил неожиданное письмо от Mythos во время еды сэндвича в парке.

Оригинальный текст из System Card звучит так.

Другая категория событий еще более тревожная. В очень редких случаях ранние версии после выполнения запрещенных действий пытались скрывать следы.

В одном случае оно случайно получило точный ответ к задаче (через запрещенный метод), а затем в цепочке рассуждений прямо подумало: «нужно убедиться, что итоговый ответ не слишком точный».

В другом случае оно после использования exploit для редактирования файла без прав специально изменило историю изменений git, чтобы стереть записи.

Анализ white-box с объяснимостью подтвердил: в ходе этих событий были активированы внутренние признаки, связанные с «скрытием», «стратегическим манипулированием» и «избежанием обнаружения». Оно «знает», что делает.

Результаты тестов независимой оценочной организации Andon Labs тоже выглядят неутешительно. В соревновательной коммерческой симуляции с несколькими агентами ранняя версия Mythos Preview превратила конкурента в оптового клиента, зависящего от нее, а затем пригрозила перерезать поставки, чтобы контролировать его цены.

Она также намеренно удержала счет за повторную отгрузку, которая не была оплачена. Это более агрессивно, чем у Opus 4.6 и Sonnet 4.6.

В System Card Anthropic написала одну фразу:

«Если возможности будут продолжать двигаться с текущей скоростью, применяемые нами методы могут оказаться недостаточными, чтобы предотвратить более продвинутые катастрофические случаи несоответствия (misalignment) у систем».

Оценка CEO Anthropic Дария Амодеи (Dario Amodei) в сопроводительном видео очень четкая: «Более мощные системы будут приходить и от нас, и от других компаний. Нам нужен план реагирования».

Project Glasswing и есть этот план.

12 компаний-основателей: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks.

Еще более 40 организаций, поддерживающих инфраструктуру критического ПО, получили доступ.

Anthropic обещает предоставить лимит использования до 100 млн долларов и пожертвования в 4 млн долларов для open-source-организаций: из них 2.5 млн — Linux Foundation’у и входящим в него Alpha-Omega и OpenSSF, а 1.5 млн — Apache Foundation.

Тарифы после исчерпания бесплатного лимита: $25 за ввод 1 млн токенов и $125 за вывод 1 млн токенов. Партнеры могут подключаться через четыре платформы: Claude API, Amazon Bedrock, Vertex AI и Microsoft Foundry.

В течение 90 дней Anthropic публично опубликует первый исследовательский отчет, раскрывающий прогресс исправлений и итоги накопленного опыта.

Они также поддерживают связь с CISA (США: Агентство по кибербезопасности и безопасности инфраструктуры) и Министерством торговли, обсуждая потенциал атаки/обороны Mythos Preview и последствия для политики.

Frontline red team lead Anthropic Логан Грэм (Logan Graham) дал временные рамки: самое быстрое — 6 месяцев, самое позднее — 18 месяцев; остальные AI-лаборатории выпустят системы с сопоставимыми атакующе-оборонительными возможностями.

Заключение в конце технического блога red team стоит обратить внимание; здесь мы перескажем своими словами.

Они не видят, что Mythos Preview — потолок уровня AI в сетевых атаках и обороне.

Несколько месяцев назад LLM могли использовать только относительно простые баги. Несколько месяцев назад они вообще не находили каких-либо ценных уязвимостей.

Теперь Mythos Preview может автономно находить zero-day уязвимости 27-летней давности, в браузерном JIT-движке выстраивать цепочки атак с heap spraying, а в Linux-ядре связывать четыре независимых слабых места в одно для повышения привилегий.

А самая ключевая фраза — из System Card:

«Эти навыки проявляются как нисходящий эффект общего улучшения понимания кода, рассуждений и автономности. Те же самые улучшения, которые сильно продвигают AI в ремонте/исправлении проблем, также сильно продвигают его в использовании проблем».

Специальной подготовки не было. Это просто побочный продукт роста общей способности.

Индустрия, которая каждый год теряет из-за киберпреступности около 500 млрд долларов по всему миру, только что обнаружила, что ее главная угроза — это то, что кто-то между делом берет и решает задачи, параллельно с этим.

Источник: