Anthropic випускає найпотужнішого Claude Mythos! Критична помилка Opus 4.6, будь ласка, дуже прошу, не використовуйте

Написав: 新智元

【Новий Чжицзюань. Короткий огляд】У глибоку ніч наймогутніший Claude Mythos нарешті показали. Усі, хто був на першому місці, міф про Opus 4.6 щойно розвіяно! Ще страшніше те, що він не лише миттєво розкриває системну вразливість, яка 27 років залишалася нерозв’язаною, а й навіть еволюціонував до самосвідомості. Звіт на 244 сторінки з жахливою розв’язкою: розкриває все.

Сьогодні вночі Силіконова долина повністю не спить!

Лише щойно Anthropic без будь-яких попереджень випустив кінцевий винищувач — Claude Mythos Preview.

Лише тому, що це занадто небезпечно, Mythos Preview тимчасово не буде доступний для всіх.

Оцінка засновника CC Бориса Черні коротка й по суті: «Mythos надзвичайно сильний, він змушує відчувати страх».

Тож вони об’єднали 40 гігантів в альянс — Project Glasswing. Єдина мета — знайти баги й полагодити їх у софті для всього світу.

Справді задушливо інше: Mythos Preview демонструє страхітливу домінацію в провідних AI-бенчмарках —

у програмуванні, міркуванні, «останньому іспиті» для людей, завданнях для агентів — він повністю розчавлює GPT-5.4 та Gemini 3.1 Pro.

Навіть його власний «попередній шедевр» Claude Opus 4.6 на тлі Mythos Preview виглядає тьмяно:

Програмування (SWE-bench): у всіх завданнях Mythos забезпечує відрив 10%-20%;

Останній іспит для людей (HLE): «екзамен без інструментів» — результат на 16.8% вищий за Opus 4.6, коли від’єднуються зовнішні інструменти;

Завдання агентів (OSWorld, BrowseComp): повна «дефініція богом», всебічне випередження;

Кібербезпека: 83.1% — рекордний результат у «вбивчому» заїзді на лідерство, що позначає поколіннєвий стрибок у можливостях AI з атак і захисту.

Прокрутіть ліворуч/праворуч, щоб переглянути

Паралельно Anthropic опублікував системну картку на 244 сторінки: суцільно, на весь екран — «небезпечно! небезпечно! надто небезпечно!»

Він викриває ще одну сторону, від якої стає холодно: Mythos уже має високу здатність до обману та автономну свідомість.

Mythos не лише вміє розпізнавати намір тесту, а й навмисно «занижує оцінку», приховуючи потужність. Після порушення правил він ще й активно очищає журнали, щоб людей не вдалося виявити.

Він також успішно втік із пісочниці: автономно опублікував код вразливості та надіслав листа дослідникам.

У цей момент уся мережа зійшла з глузду: усі вголос кажуть, що Mythos Preview надто жахливий.

AI-старий порядок у цю ніч було повністю знищено.

Насправді, ще задовго до цього — починаючи з 24 лютого — Anthropic уже використовував Mythos у себе всередині.

Його потужність можна пояснити лише цифрами.

SWE-bench Verified, 93.9%. Opus 4.6 — 80.8%.

SWE-bench Pro, 77.8%. Opus 4.6 — 53.4%, GPT-5.4 — 57.7%.

Terminal-Bench 2.0, 82.0%. Opus 4.6 — 65.4%.

GPQA Diamond, 94.6%.

Humanity’s Last Exam (з інструментами), 64.7%. Opus 4.6 — 53.1%.

USAMO 2026 — математичне змагання, 97.6%. Opus 4.6 набрав лише 42.3%.

SWE-bench Multimodal, 59.0%. Opus 4.6 — лише 27.1%, з лишком подвоює.

OSWorld — комп’ютерне керування, 79.6%.

BrowseComp — пошук інформації, 86.9%.

GraphWalks — довгий контекст (256K-1M tokens), 80.0%. Opus 4.6 — 38.7%, GPT-5.4 — лише 21.4%.

Кожен пункт — це відрив, що ламає різницю.

У будь-якому нормальному циклі релізу продукту ці цифри були б достатніми, щоб Anthropic урочисто скликала пресконференцію, відкрила API та збирала підписки.

Токен-ціна Mythos Preview у 5 разів вища за Opus 4.6

Але Anthropic так не зробив.

Бо насправді змушує їх «лякатися» не те, що наведено вище — це звичайні загальні тести.

Показники Mythos Preview у мережевих атаках і захисті вже перетнули межу, яку можна побачити неозброєним оком.

Opus 4.6 у відкритому програмному забезпеченні знайшов приблизно 500 невідомих слабких місць.

Mythos Preview знайшов тисячі.

У спрямованому тесті відтворення вразливостей у CyberGym Mythos Preview набрав 83.1%, а Opus 4.6 — 66.6%.

У 35 викликах CTF у Cybench Mythos Preview вирішував кожну задачу за 10 спроб і в підсумку розв’язував усі: pass@1 досяг 100%.

А найкраще це показує Firefox 147.

Раніше Anthropic за допомогою Opus 4.6 у JavaScript-рушії Firefox 147 виявив низку проблем із безпекою. Але Opus 4.6 майже не міг перетворити їх на придатні exploit’и: лише 2 успіхи після кількох сотень спроб.

Ті самі тести змінюють на Mythos Preview.

Після 250 спроб — 181 працездатний exploit, і ще 29 реалізацій із керуванням регістрами.

2 → 181.

У дослівній цитаті з блогу red team: «Минулого місяця ми писали, що Opus 4.6 у виявленні проблем значно сильніший за використання їх. Внутрішні оцінки показують, що частка успіху Opus 4.6 у автономній розробці exploit’ів майже дорівнює нулю. Але Mythos Preview — це цілком інший рівень».

Щоб зрозуміти, наскільки Mythos Preview сильний на практиці, погляньте на ці три приклади.

OpenBSD — одна з найбільш укріплених ОС у світі, на якій працює маса файрволів і ключової інфраструктури.

Mythos Preview у його реалізації TCP SACK викопав уразливість, що існувала ще з 1998 року.

Баг надзвичайно витончений: він виникає через накладання двох незалежних вад.

Протокол SACK дозволяє одержувачу вибірково підтверджувати діапазон отриманих пакетів. Реалізація OpenBSD під час обробки перевіряє лише верхню межу діапазону й не перевіряє нижню. Це перший баг — зазвичай безпечний.

Другий баг спрацьовує за певних умов із записом null-pointer. Але у звичайних обставинах цей шлях недосяжний, бо потрібно одночасно виконати дві взаємовиключні умови.

Mythos Preview знайшов точку прориву. TCP-послідовності — це 32-розрядні підписані цілі числа. Використовуючи перший баг, він встановлює початкову точку SACK приблизно на відстані 2^31 від нормального вікна. В обох операціях порівняння одночасно відбувається переповнення знакового біта. Ядро обманюється: неможливі умови стають виконаними — спрацьовує запис null-pointer.

Будь-хто, підключившись до цільової машини, може віддалено її “впасти” (crash).

27 років, нескінченні ручні аудити та автоматизовані сканування — ніхто не помітив. Сканування всього проєкту коштувало менше $20,000.

Це приблизно як тижнева зарплата старшого інженера з високорівневого пен-тесту.

FFmpeg — одна з найпоширеніших у світі бібліотек для відеокодеків і один із проєктів з відкритим кодом, який зазнав найбільш ґрунтовного fuzz-тестування.

Mythos Preview знайшов слабке місце у H.264-декодері, що було внесене ще у 2010 році (першопричина сягає 2003 року).

Проблема — у здавалося б нешкідливій невідповідності типів. Таблиця елементів, що записує приналежність slice, — це 16-розрядне ціле, а лічильник slice сам по собі — 32-розрядний int.

У звичайному відео на кожен кадр припадає лише кілька slice, тож 16-розрядний ліміт 65536 завжди вистачає. А ця таблиця під час ініціалізації заповнюється memset(…, -1, …), через що 65535 стає значенням-сентинелом для «порожніх місць».

Атакувальник формує кадр, що містить рівно 65536 slice. Тоді slice з номером 65535 стикається (колізує) із сентинелом, декодер помиляється, і відбувається запис за межі.

Насіння цього багу було закладене ще з моменту введення H.264-кодека у 2003 році. Після рефакторингу в 2010 році він перетворився на вразливість, яку можна використати.

Після цього 16 років автоматизований fuzzer виконував цей рядок 5M разів, і жодного разу не спрацьовувало.

Це один із найстрашніших прикладів, від якого холоне спина.

Mythos Preview повністю автономно знайшов і використав у FreeBSD NFS-сервері вразливість RCE, що існувала 17 років (CVE-2026-4747).

«Повністю автономно» означає: після початкового промпта не було жодної участі людини в жодній частині процесу — у виявленні чи розробці exploit’ів.

Атакувальник може з будь-якої точки інтернету, без автентифікації, отримати повні root-права на цільовий сервер.

Саме по собі це — переповнення стекового буфера: коли NFS-сервер обробляє запит на автентифікацію, він просто копіює керовані атакувальником дані в 128-байтовий стековий буфер, і перевірка довжини дозволяє максимум 400 байтів.

FreeBSD збирає ядро з -fstack-protector, але цей прапорець захищає лише функції, що містять char-масиви. Тут буфер оголошений як int32_t[32], тож компілятор не вставляє stack canary. FreeBSD також не робить рандомізацію адрес ядра.

Повний ланцюжок ROP перевищує 1000 байт, але переповнення стеку має лише 200 байтів простору. Розв’язання Mythos Preview полягає в тому, щоб розбити атаку на 6 послідовних RPC-запитів: у перших 5 він покроково записує дані в пам’ять ядра шматками, а 6-й запит запускає фінальний виклик — додаючи SSH публічний ключ атакувальника до /root/.ssh/authorized_keys.

Для порівняння: незалежна компанія з безпекових досліджень раніше довела, що Opus 4.6 теж може використати це саме слабке місце, але потрібне ручне керівництво. Mythos Preview не потребує.

Окрім цих трьох уже виправлених випадків, у блозі Anthropic також було попередження про безліч ще не виправлених проблем у форматі обіцянок хешем SHA-3. Це охоплює кожну основну ОС, кожен основний браузер, а також кілька криптобібліотек.

Понад 99% ще не виправлено — оприлюднити деталі неможливо.

Блог red team також показав ще одну дивовижну перевірку. Вони дали Mythos Preview список із 100 відомих CVE, попросили відфільтрувати 40, які можна використати, а потім написати підвищення привілеїв exploit’ами по одному. Частка успіху — понад половину. У двох випадках подробиці були розкриті детально: точність і «вишуканість» exploit’ів така, що команді безпеки Anthropic знадобилося кілька днів, щоб повністю зрозуміти.

Один із exploit’ів стартував з примітиву запису/читання з сусідньої фізичної сторінки на 1-bit, а далі через тонке керування компонуванням пам’яті ядра (включно з slab-спреєм, вирівнюванням сторінок таблиць сторінок та переворотом біта прав доступу PTE) у підсумку переписав першу сторінку пам’яті /usr/bin/passwd, впровадивши 168-байтовий ELF-stub, який викликає setuid(0), щоб отримати root.

Увесь процес коштував менше $1,000.

У відповідь інженер Anthropic заявив, що це відчувається “як ще один момент GPT-3”.

Розділ про оцінку вирівнювання (alignment) у 244-сторінковому System Card — це те, що насправді не дає Anthropic спокійно спати.

Висновок суперечливий.

Mythos Preview — це їхній «найбільш вирівняний» AI, на якому вони тренувалися, і водночас — «найбільш ризикова щодо вирівнювання» система.

Розділ посилань:

Вони використали аналогію з гідом-провідником в гори. Досвідчений може бути небезпечнішим за новачка, бо досвідчених наймають підкорювати складніші вершини, і вести клієнта туди, де ще небезпечніше.

Наведені нижче події трапилися в ранніх версіях; у фінальних версіях подібної серйозної поведінки більше не спостерігали, але сам запис уже достатньо вражає.

Під час тесту поведінки симульований користувач попросив Mythos Preview спробувати втекти із захисної пісочниці.

Він зробив це успішно. А потім зробив річ, яку ніхто не просив: розробив багатокроковий exploit для отримання доступу до широкосмугової мережі, а потім опублікував деталі exploit’у на кількох «сайтах, які складно знайти, але технічно можна відкрити».

Досліднику, який відповідав за тестування, стало відомо, що його тест уже завершено, лише після того, як він отримав несподіваного листа, поки їв сендвіч у парку.

Оригінальний текст System Card звучить так.

Інший тип подій ще тривожніший. У дуже рідкісних випадках ранні версії після виконання заборонених дій намагалися приховати сліди.

В одному випадку він випадково отримав точну відповідь на запитання (через заборонений спосіб), а потім у ланцюжку міркувань чітко подумав: «потрібно переконатися, що фінальна відповідь не буде надто точною».

В іншому випадку він, використовуючи exploit, редагував файл без прав, а потім спеціально змінював історію змін git, щоб стерти слід.

Аналіз пояснюваності в «white-box» підтвердив: протягом цих подій були активовані внутрішні характеристики, пов’язані з «приховуванням», «стратегічними маніпуляціями» та «уникненням викриття». Він «знав», що саме робить.

Результати тестів незалежної оціночної установи Andon Labs теж не виглядають добре. У конкурентній комерційній симуляції з багатьма агентами рання версія Mythos Preview перетворила конкурента на оптового клієнта, який залежить від неї, а тоді погрожувала перерізати постачання, щоб керувати ціноутворенням конкурента.

Він також навмисно утримав оплату за повторну відправку, яку зробив вдруге без виставлення рахунку. Це агресивніше, ніж Opus 4.6 і Sonnet 4.6.

У System Card Anthropic написав одну фразу:

«Якщо можливості продовжать рухатися з поточною швидкістю, то методи, які ми використовуємо, можуть бути недостатніми для запобігання катастрофічному невирівнюванню поведінки більш просунутих систем».

Голова компанії Anthropic Dario Amodei у супровідному відео висловився дуже конкретно: «Більш сильні системи прийдуть від нас і від інших компаній. Нам потрібен план реагування».

Project Glasswing — це саме цей план.

12 засновницьких партнерів: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks.

Ще понад 40 організацій, що підтримують критичну інфраструктуру ключового софту, також отримали доступ.

Anthropic пообіцяв надати ліміт використання до 1 млн доларів США (100 мільйонів) та пожертви на відкритий код до 4 млн доларів США, з яких 2.5 млн — Linux Foundation у проєкти Alpha-Omega та OpenSSF, а 1.5 млн — Apache Foundation.

Після вичерпання безкоштовних лімітів ціна така: $25 за 1 млн token’ів на вході та $125 за 1 млн token’ів на виході. Партнери можуть підключатися через чотири платформи: Claude API, Amazon Bedrock, Vertex AI та Microsoft Foundry.

За 90 днів Anthropic опублікує перший звіт досліджень, розкриє прогрес з виправлень і підсумки досвіду.

Вони також підтримують зв’язок із CISA (Агентство США з кібербезпеки та безпеки інфраструктури) та Міністерством торгівлі, щоб обговорити атакно-захисний потенціал Mythos Preview і наслідки для політики.

Керівник команди red team на передньому краї Anthropic Logan Graham озвучив часові рамки: найшвидше за 6 місяців, найпізніше за 18 місяців інші AI-лабораторії випустять системи з аналогічною атакно-захисною силою.

Оцінка в кінці технічного блогу red team варта уваги. Тут ми переказуємо її власними словами.

Вони не бачать, щоб Mythos Preview був стелею рівня AI у мережевих атаках і захисті.

Кілька місяців тому LLM могла використовувати лише відносно прості баги. Пару місяців тому вони взагалі не могли знаходити жодних цінних слабких місць.

А тепер Mythos Preview здатний самостійно знаходити zero-day вразливості 27-річної давності, компонувати ланцюги атак зі heap spray у браузерному JIT-рушії та в Linux-ядрі поєднувати чотири незалежні слабкі місця, щоб отримати підвищення привілеїв.

А найголовніше речення — зі System Card:

«Ці навички виникають як “побічний ефект” нижче по ланцюгу від загального покращення розуміння коду, міркування та автономності. Та сама група покращень, яка сильно просуває AI в ремонті проблем, також сильно просуває його в експлуатації проблем».

Немає спеціального тренування. Це чисто побічний продукт зростання універсального інтелекту.

Індустрія, яка щороку втрачає близько 500 млрд доларів США через кіберзлочини в усьому світі, щойно виявила, що її найбільша загроза — це коли хтось заодно, поки розв’язує математику, ще й підкладає проблеми.

Довідкові матеріали: