|
Опрос
|
реклама
Быстрый переход
Тесты подтвердили: Claude Mythos превосходит конкурентов в поиске уязвимостей, но имеет другие слабые места
17.05.2026 [07:21],
Дмитрий Федоров
ИИ-модель Mythos компании Anthropic подтвердила репутацию лучшего инструмента поиска программных уязвимостей, но в других задачах её результаты оказались неоднозначными. Компания XBOW, которая разрабатывает ИИ-инструменты для проверки защищённости систем, провела серию независимых тестов Mythos Preview.
Источник изображения: anthropic.com XBOW сообщает, что Mythos Preview представляет собой существенный шаг вперёд по сравнению со всеми существующими моделями, независимо от провайдера. Модель отлично находит проблемы при тестировании на работающей системе с доступом к исходному коду, но хуже справляется с анализом кода в изоляции. Ещё 20 лет назад американский учёный в области информатики Гэри Макгроу (Gary McGraw) отметил, что ошибки в работе программ возникают на стыке багов в коде и изъянов архитектуры: найти архитектурные изъяны, просто изучая код построчно, нельзя — для этого требуется понимание системы на более высоком уровне. XBOW при этом подчёркивает: хотя любая ИИ-модель может обнаружить что-то интересное, «что-то» не равнозначно «всему». В оценке результатов — умении отличать реальные уязвимости от ложных — Mythos отсеивала ложные срабатывания лучше предшественников, но иногда пропускала реальные уязвимости, когда свидетельства формально не удовлетворяли её критериям. Лучших результатов модель достигает при точно сформулированных запросах. В реверс-инжиниринге (восстановлении логики программы без доступа к исходному коду) и анализе нативного кода Mythos показала значительную силу. XBOW заключила, что модель способна проводить триаж — приоритизацию и отсев — как собственных результатов, так и находок конкурентов, а также разбираться в нестандартных прошивках. Тесты на взаимодействие с визуальным интерфейсом показали, что модель не всегда попадает в точные координаты элементов на экране, но практически эффективна при выборе действий в браузере: верно определяет нужный элемент и кликает в нужное место. Остаётся вопрос стоимости. XBOW отмечает, что Mythos Preview — не просто очередная модель, а настоящий титан, но титаны велики, а величина означает дороговизну. Anthropic заявила, что Mythos будет в пять раз дороже модели Opus. XBOW проверила, можно ли дать более дешёвой модели больше времени и получить сопоставимую точность, — и ответ оказался утвердительным. При нормализации по стоимости работы Mythos Preview не выглядит расточительной, если требуется высокая точность, но на бенчмарках XBOW не стала лучшей в своём классе. При поиске веб-уязвимостей с фиксированным бюджетом токенов Mythos превосходит Opus 4.6, но уступает GPT5.5. Главные выводы тестирования: Mythos чрезвычайно мощна для аудита исходного кода, хороша, но менее убедительна в подтверждении работоспособности найденных эксплойтов. Модель склонна к буквальности в оценках и преувеличивает практическую значимость находок, при этом сильна в нативном коде и реверс-инжиниринге. XBOW заключает, что Mythos Preview уверенно находит потенциальные уязвимости, особенно в исходном коде, и показывает сильные результаты в задачах, связанных с вебом, нативным кодом и реверс-инжинирингом. Linux снова под ударом: раскрыт эксплойт Fragnesia, который превратит любого пользователя в администратора
13.05.2026 [17:13],
Дмитрий Федоров
Эксперт по кибербезопасности раскрыл подробности универсального эксплойта Fragnesia для локального повышения привилегий в Linux, который позволяет любому непривилегированному пользователю получить полный root-доступ, то есть права суперпользователя. Эксплойт принадлежит к новому классу уязвимостей Dirty Frag и использует логическую ошибку глубоко в сетевой подсистеме ядра Linux. Технические детали вместе с однострочным PoC-кодом (proof of concept — работающий демонстрационный эксплойт) уже находятся в открытом доступе.
Источник изображения: Gabriel Heinzer / unsplash.com Название Fragnesia отсылает к конкретному дефекту в управлении памятью ядра Linux. Как поясняет исследователь Уильям Боулинг (William Bowling) из команды V12 — компании в области кибербезопасности, которая использует агентный ИИ для поиска уязвимостей, — при объединении сетевых буферов внутренняя структура ядра skb (socket buffer) перестаёт учитывать, что фрагмент данных используется совместно с другим процессом. Эта ошибка открывает возможность для злоупотребления подсистемой ESP-in-TCP — протоколом шифрования трафика внутри TCP-соединений. Когда TCP-сокет переводится в определённый режим после того, как данные были переданы из файла через системный вызов splice, ядро ошибочно принимает обычные файловые страницы за зашифрованные данные. В отличие от большинства серьёзных уязвимостей ядра, Fragnesia не требует сложного состояния гонки — ситуации, при которой результат зависит от порядка выполнения параллельных операций. Вместо этого атака нацелена на страничный кэш VFS — область оперативной памяти, в которой операционная система (ОС) хранит недавно прочитанные файлы для ускорения повторного доступа. Подбирая криптографические nonce (одноразовые числа), атакующий применяет побитовую операцию XOR с нужными значениями непосредственно к кэшированным страницам и тем самым получает возможность изменять содержимое файлов, формально доступных только для чтения. Исследователь продемонстрировал атаку на практике, перезаписав первые 192 байта системной утилиты /usr/bin/su небольшим вредоносным кодом. В отчёте отмечается, что модификация затрагивает только страничный кэш и не сохраняется на диск, поэтому двоичный файл на носителе остаётся нетронутым. Однако когда система пытается выполнить кэшированную версию основной утилиты su, вместо штатной программы запускается код атакующего, и пользователь получает root-оболочку — командную строку с правами суперпользователя. После этого система остаётся скомпрометированной: любой, кто вызовет утилиту su на этой машине, также получит права администратора, пока кэш не будет очищен вручную или машина не будет перезагружена. Особую тревогу вызывает простота запуска. Исследователь опубликовал последовательность команд, которая клонирует репозиторий с кодом эксплойта, компилирует его и запускает — всё в одну строку терминала. Уязвимости подвержены все версии ядра Linux, выпущенные до 13 мая 2026 года. Если оперативно установить обновление ядра невозможно, исследователи рекомендуют в качестве временной меры отключить затронутые модули командой rmmod esp4 esp6 rxrpc. Универсальный характер Fragnesia делает немедленную установку патча — исправления программного кода — единственной надёжной мерой защиты для Linux-инфраструктуры. OpenAI вооружила европейские компании ИИ-моделью GPT-5.5-Cyber для защиты от хакеров
12.05.2026 [21:41],
Дмитрий Федоров
OpenAI открыла европейским компаниям доступ к своим последним ИИ-моделям, включая специализированную GPT-5.5-Cyber, для поиска уязвимостей в корпоративных системах. Среди участников программы — немецкие Deutsche Telekom и Scalable Capital, испанские BBVA и Telefonica, британская Sophos.
Источник изображения: Levart_Photographer / unsplash.com Программа Trusted Access for Cyber предоставляет верифицированным компаниям из ключевых отраслей — финансов, телекоммуникаций, энергетики и государственных услуг — доступ к моделям OpenAI с ограничениями, допускающими использование только в целях киберзащиты. Управляющий директор OpenAI по региону EMEA (Европа, Ближний Восток и Африка) Эммануэль Марий (Emmanuel Marill) заявил, что по мере роста возможностей ИИ важно соблюдать баланс между доступностью, полезностью и безопасностью. По его словам, необходимо блокировать опасную деятельность и одновременно обеспечивать проверенных специалистов по киберзащите инструментами, действительно полезными для защиты систем, обнаружения уязвимостей и быстрого реагирования на киберугрозы. Запуск ИИ-модели Mythos конкурентом OpenAI — компанией Anthropic — в прошлом месяце существенно повысил риски для банков и других компаний. Способность новых передовых ИИ-моделей программировать на высоком уровне дала беспрецедентные возможности для поиска уязвимостей и разработки способов их эксплуатации, что вызвало опасения относительно использования таких моделей для дестабилизации финансовых и иных организаций. OpenAI предложила Европейской комиссии открытый доступ к функциям кибербезопасности, сообщил Брюссель в понедельник, добавив, что Anthropic пока не проявила такой же готовности. Бывший министр финансов Великобритании Джордж Осборн (George Osborne), возглавляющий инициативу OpenAI for Countries, в понедельник направил в Еврокомиссию письмо, в котором указал, что демократизация доступа к инструментам киберзащиты способна укрепить коллективную безопасность и отвечает европейским приоритетам. OpenAI также объявила о создании новой компании с начальными инвестициями свыше $4 млрд для помощи организациям в разработке и внедрении ИИ-систем и о приобретении консалтинговой фирмы Tomoro для её ускоренного масштабирования. ИИ сломал правила кибербезопасности — 90-дневное окно раскрытия уязвимостей теперь мертво
12.05.2026 [17:33],
Дмитрий Федоров
Исследователь безопасности Химаншу Ананд (Himanshu Anand) заявил, что отраслевой стандарт 90-дневного окна раскрытия уязвимостей фактически мёртв. Сам Ананд с помощью ИИ-инструментов создал рабочий эксплойт для уже исправленной уязвимости за 30 минут, а независимые исследователи массово обнаруживают одни и те же уязвимости за считанные дни.
Источник изображения: Sasun Bughdaryan / unsplash.com Поводом стали две свежие уязвимости повышения привилегий в ядре Linux — Copy Fail и Dirty Frag: обе позволяли получить права администратора через локальную учётную запись. Информацию о Dirty Frag раскрыли чуть больше чем через неделю после её передачи команде разработки ядра Linux, задолго до привычных 90 дней. Предположительно, исследователи поспешили, потому что уязвимость уже активно эксплуатировалась хакерами. Масштаб проблемы Ананд показал на собственном примере: он нашёл уязвимость в неназванном интернет-магазине, позволявшую покупать товары за $0, и отправил отчёт, но выяснилось, что за предшествующие шесть недель о той же ошибке сообщили ещё 10 исследователей. Ананд заключил, что специалисты по кибербезопасности, использующие ИИ, сходились на одних и тех же ошибках практически одновременно. Другой расследователь инцидентов подтвердил, что при появлении новой уязвимости он видит волну дублирующихся отчётов за считанные дни и задаётся вопросом, что мешает злоумышленникам делать то же самое до её устранения. ИИ не умнее человека, но он работает круглосуточно и крайне эффективен в распознавании закономерностей, а большинство эксплойтов коренится именно в повторяющихся ошибках кода. Ананд продемонстрировал это на фреймворке React, собрав эксплойт для уже закрытой уязвимости за 30 минут. По словам Ананда, 90-дневное окно не защищает никого, а ежемесячные циклы обновлений тоже мертвы, поскольку 30-дневный промежуток между обнаружением и исправлением предполагает, что злоумышленники медленнее релизного конвейера. Он призывает относиться к каждой критической уязвимости как к P0 (наивысший приоритет инцидента в системах баг-трекинга), исправлять немедленно и встроить ИИ в процессы проверки кода. Ананд резюмирует, что пока разработчик читает описания CVE, злоумышленник уже изучает git log --diff-filter=M — и выигрывает. Открытое программное обеспечение превращается в обоюдоострое оружие: ИИ используют доступность кода и для защиты, и для атаки. Впрочем, патч может появиться за считанные часы — команда Mozilla выпустила 423 исправления только за апрель. Для закрытого ПО перспектива хуже: ИИ-боты столь же хороши в декомпиляции и сетевом сканировании, и вполне вероятно, что Microsoft, Apple или Google переживут свой момент Copy Fail скорее рано, чем поздно. OpenAI запустила Daybreak — ответ на инициативу Anthropic Glasswing в кибербезопасности на базе Claude Mythos
12.05.2026 [12:24],
Павел Котов
OpenAI объявила о запуске проекта Daybreak в области кибербезопасности — это явно симметричный ответ на инициативу Anthropic Glasswing. В рамках Glasswing некоторым клиентам Anthropic предоставляется доступ к передовой модели искусственного интеллекта Claude Mythos Preview. Она, например, помогла Mozilla обнаружить и закрыть 271 уязвимость в последней версии браузера Firefox.
Источник изображения: Growtika / unsplash.com OpenAI Daybreak предполагает применение нескольких моделей ИИ, а также спецверсию ИИ-агента Codex. Инициатива основана на предпосылке, что средства киберзащиты должны закладываться в ПО — ограничиваться поиском и устранением уязвимостей больше не получится, уверены в OpenAI. Цель Daybreak состоит в том, чтобы расставить приоритеты в решении наиболее важных проблем и сократить время анализа с нескольких часов до нескольких минут, генерировать и тестировать патчи в репозиториях и отправлять результаты в системы клиентов. Для общих целей клиенты Daybreak смогут использовать новую модель GPT-5.5, а для большинства задач в области кибербезопасности станет применяться версия GPT-5.5 с доступом через Trusted Access for Cyber. Нашлось место и для GPT-5.5-Cyber для «предварительного доступа к специализированным рабочим процессам, в том числе автоматизированного анализа угроз, тестирования на проникновение и проведения контролируемых проверок». В рамках инициативы OpenAI уже сотрудничает с Cloudflare, Cisco, CloudStrike, Palo Alto Networks, Oracle и Akamai. Google впервые обнаружила и заблокировала ИИ-эксплойт нулевого дня для взлома 2FA
11.05.2026 [22:01],
Дмитрий Федоров
Google впервые обнаружила и заблокировала эксплойт нулевого дня (метод атаки через уязвимость, о которой разработчик ещё не знает), созданный с помощью ИИ. По данным Google Threat Intelligence Group (GTIG), известные киберпреступные группировки готовили масштабную атаку на систему двухфакторной аутентификации (2FA) в веб-приложении с открытым исходным кодом для системного администрирования.
Источник изображения: Sasun Bughdaryan / unsplash.com Исследователи Google нашли в коде эксплойта на языке Python характерные следы ИИ-модели — вымышленную оценку по шкале CVSS (стандарт оценки критичности уязвимостей) и типично «учебное» форматирование Оценка CVSS оказалась выдуманной: ИИ-модель сгенерировала её сама, а не взяла из реальной базы уязвимостей. Структура кода тоже указывала на ИИ — она воспроизводила шаблоны, характерные для обучающих данных больших языковых моделей (LLM). Причина уязвимости оказалась не в опечатке и не в сбое, а в ошибке логики веб-приложения. Разработчик платформы запрограммировал в коде допущение, что определённый компонент системы всегда заслуживает доверия, и не стал его перепроверять. Именно через этот непроверяемый компонент злоумышленники и обходили двухфакторную аутентификацию. Какое именно приложение стало мишенью, Google не раскрыла. Исследователи также уточнили, что ИИ Gemini, по их мнению, при создании эксплойта не применяли. Атаку удалось сорвать до начала массового применения. GTIG отмечает ещё одну тенденцию: злоумышленники атакуют не только с помощью ИИ, но и саму инфраструктуру ИИ-систем — автономные функции ИИ-агентов и внешние модули доступа к данным. Хакеры прибегают к так называемому ролевому обману: формулируют запрос, в котором предлагают ИИ-модели представить себя экспертом по безопасности, и таким образом обходят встроенные ограничения. Кроме того, они загружают в модели целые базы данных об уязвимостях и используют инструмент OpenClaw для отладки вредоносных программ в контролируемых средах — прежде чем развёртывать атаки на реальных целях. Хакеры теперь грабят хакеров: новая группировка PCPJack перехватывает заражённые сети
08.05.2026 [10:48],
Дмитрий Федоров
Неизвестная хакерская группировка атакует системы, уже скомпрометированные киберпреступной группой TeamPCP, вытесняет её участников, удаляет их вредоносы и разворачивает собственное ПО для кражи учётных данных. Группировку, получившую название PCPJack, обнаружила ИБ-компания SentinelOne.
Источник изображения: Sasun Bughdaryan / unsplash.com Проникнув в заражённые TeamPCP системы, хакеры PCPJack разворачивают в них собственные вредоносы, способные распространяться по облачной инфраструктуре жертв наподобие сетевого червя, похищать учётные данные и пересылать украденную информацию на серверы злоумышленников. Инструменты хакеров ведут собственный счётчик целей, из которых им удалось вытеснить участников TeamPCP. TeamPCP — киберпреступная группировка, привлёкшая внимание в последние недели серией резонансных атак. Среди них — взлом облачной инфраструктуры Европейской комиссии и масштабная атака на широко используемый сканер уязвимостей Trivy, затронувшая все компании, полагавшиеся на этот инструмент, в том числе LiteLLM и ИИ-стартап по рекрутингу Mercor. Алекс Деламотт (Alex Delamotte), старший исследователь компании SentinelOne, рассказала, что организаторы группировки пока не установлены. Деламотт выдвинула три версии: недовольные бывшие участники TeamPCP, конкурирующая группировка или третья сторона, которая решила создать свои инструменты атаки по образцу TeamPCP. «Сервисы, на которые нацелена PCPJack, во многом совпадают с мишенями декабрьских и январских атак TeamPCP, предшествовавших предполагаемой смене состава группы в феврале-марте», — сообщила Деламотт. Она также отметила, что хакеры атакуют не только системы, скомпрометированные TeamPCP, но и сканируют интернет в поисках открытых сервисов, таких как облачная платформа виртуализации Docker и базы данных MongoDB. Тем не менее в SentinelOne подчеркнули, что группировка сосредоточена преимущественно на вытеснении конкурентов из TeamPCP. Цели участников PCPJack носят исключительно финансовый характер. Они монетизируют украденные учётные данные тремя способами: перепродажей, продажей доступа к скомпрометированным системам и прямым вымогательством у жертв. При этом хакеры не устанавливают программы для майнинга криптовалюты, вероятно потому, что такая стратегия требует больше времени для получения выгоды, считает Деламотт. В ходе некоторых атак злоумышленники используют домены, указывающие на фишинг паролей, а также поддельные сайты технической поддержки, сообщила Деламотт. Хакеры «вырубили» Ubuntu: серверы не работают, критические патчи застряли
02.05.2026 [12:27],
Дмитрий Федоров
Серверы Ubuntu и её материнской компании Canonical не работают вторые сутки из-за DDoS-атаки. Ответственность взяла проиранская хакерская группировка. Сбой произошёл через несколько часов после того, как исследователи неудачно раскрыли серьёзную уязвимость в Linux и опубликовали код для её эксплуатации. Из-за отключения Ubuntu не может донести до пользователей исправления системы безопасности. Обновления при этом приходят только с зеркал.
Источник изображения: David Pupăză / unsplash.com Сайты Ubuntu и Canonical перестали открываться в четверг утром, тогда же стало невозможно скачать обновления операционной системы (ОС) с серверов компании. На странице статуса Canonical и в соцсети X появилось сообщение: «Веб-инфраструктура Canonical подвергается продолжительной трансграничной атаке, и мы работаем над её устранением». Больше представители Ubuntu и Canonical ничего не комментировали.
Источник изображения: @Canonical / x.com Согласно публикациям в Telegram и других соцсетях, атаку провела проиранская группировка с помощью Beam. Этот сервис называет себя инструментом для проверки серверов под высокой нагрузкой, но, как и другие стрессеры, по сути служит прикрытием для платной услуги: за деньги злоумышленники могут вывести из строя чужой сайт. На днях та же группировка взяла на себя ответственность за DDoS-атаки на eBay. По данным модератора Ask Ubuntu, недоступными оказались ubuntu.com, canonical.com, security.ubuntu.com, archive.ubuntu.com, blog.ubuntu.com, developer.ubuntu.com, portal.canonical.com, academy.canonical.com, assets.ubuntu.com, jaas.ai, maas.io, а также Ubuntu Security API, используемый для отслеживания CVE и уведомлений о безопасности.
Заявление хакерской группировки 313 Team об ответственности за DDoS-атаку на серверы Ubuntu с использованием платформы Beamed.SU. Источник изображения: @VECERTRadar / x.com Инфраструктура отключилась через несколько часов после того, как исследователи опубликовали код эксплойта, который позволяет рядовым пользователям дата-центров, университетов и других мест получить полный root-доступ к серверам почти под любым дистрибутивом Linux, включая Ubuntu. Пока сайты не работают, Ubuntu не может вовремя предупредить пострадавших о мерах защиты. Сайты-стрессеры, они же бутеры, существуют десятилетиями. По сути это DDoS-атаки как услуга: за плату любой желающий может заказать атаку на чужой ресурс. Такие сервисы давно попали в поле зрения правоохранителей в разных странах, но прекратить их работу так и не удалось. Почему инфраструктура остаётся недоступной так долго — неясно. Это другое: Пентагон не перестал считать Anthropic неблагонадёжной — но не отказался от передовой ИИ-модели Mythos
01.05.2026 [19:11],
Алексей Разин
Активность американского военного ведомства по взаимодействию с Anthropic в отношении ИИ-модели Mythos могла создать ложное впечатление о потеплении в отношениях сторон, однако технический директор Пентагона на этой неделе подчеркнул, что указанный стартап до сих пор относится к числу неблагонадёжных поставщиков.
Источник изображения: Anthropic В интервью CNBC Эмиль Майкл (Emil Michael) заявил: «Я думаю, что с Mythos имеет дело всё правительство, а не только Министерство войны, и это отдельный момент, касающийся национальной безопасности — мы должны в данном случае убедиться, что наши сети защищены, а эта модель обладает способностями по обнаружению уязвимостей и их устранению». В прошлом квартале между Anthropic и Министерством обороны США разгорелся конфликт вокруг этичности применения ИИ для массового слежения за гражданами США и выбора целей для систем вооружений, способных работать в автоматическом режиме. Заключённый было Пентагоном контракт с Anthropic на использование её ИИ-моделей в секретных операциях был расторгнут, а саму компанию ведомство отнесло к числу поставщиков, представляющих опасность для национальной безопасности. Сейчас Пентагон и Anthropic разбираются в суде, кто из них прав в данной ситуации. Технический директор Пентагона дал понять, что подобное противостояние не мешает американскому правительству использовать инструменты поиска уязвимостей в программном обеспечении, выпущенные всё той же Anthropic. Поскольку запрет на использование разработок Anthropic правительственными ведомствами остаётся в силе, не совсем понятно, как Пентагон может применять Mythos, не нарушая этого запрета. Эмиль Майкл подчеркнул, что меры безопасности, предпринимаемые Пентагоном, формируются в результате обсуждений со всеми компаниями, и у них разные взгляды на эти вопросы. Сегодня Пентагон заявил, что заключил соглашение с семью ИИ-компаниями, в результате которых сможет использовать их разработки в своих секретных операциях «в рамках, определяемых законом». В круг допущенных к сотрудничеству с Пентагоном вошли Google, OpenAI, Nvidia, Microsoft, AWS (Amazon), SpaceX (xAI) и стартап Reflection. Глава Anthropic Дарио Амодеи (Dario Amodei) в прошлом месяце встречался с представителями администрации Трампа, чтобы обсудить ситуацию с положением компании и возможностью применения Mythos правительственными ведомствами, участники встречи охарактеризовали её как «продуктивную». Дональд Трамп (Donald Trump) после этого даже заявил, что между Anthropic и Министерством обороны США может снова быть заключён договор, назвав компанию «умной» и «способной приносить большую пользу». По некоторым данным, силовые ведомства США, включая и сам Пентагон, продолжают использовать разработки Anthropic, невзирая на формальный запрет. «С точки зрения национальной безопасности, вам всегда приходится смотреть на эти вещи. АНБ и Министерство торговли изучают все передовые модели, включая китайские, чтобы определить, каковы сейчас передовые возможности», — пояснил технический директор Пентагона. Anthropic начала бета-тестирование Claude Security — сервиса на Opus 4.7 для поиска уязвимостей в коде
01.05.2026 [15:12],
Дмитрий Федоров
Anthropic запустила открытое бета-тестирование Claude Security для клиентов Claude Enterprise. ИИ-сервис, прежде известный как Claude Code Security, на базе ИИ-модели Claude Opus 4.7 сканирует программный код на уязвимости и предлагает его точечные исправления. Параллельно Anthropic встраивает возможности Claude Security в платформы безопасности CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI и Wiz.
Источник изображения: claude.com В Anthropic считают, что ИИ резко сокращает время между обнаружением уязвимости в программном обеспечении и атакой на него. Новые ИИ-модели уже способны не только находить бреши в коде, но и автоматически их эксплуатировать. Незадолго до релиза компания представила Claude Mythos Preview — модель, которая, по её утверждению, находит и эксплуатирует уязвимости не хуже ведущих экспертов по кибербезопасности. Mythos предоставлялась ограниченному кругу партнёров в составе инициативы Project Glasswing, тогда как Claude Security рассчитана на широкий круг корпоративных клиентов. Доступ к сервису можно получить через боковую панель Claude.ai или по адресу claude.ai/security. Пользователь выбирает репозиторий, при необходимости ограничивает проверку конкретным каталогом или веткой и запускает сканирование. ИИ-модель не сверяет код с известными шаблонами: она прослеживает взаимодействие компонентов между файлами и модулями, отслеживает потоки данных и выявляет реальные уязвимости — как это делает исследователь по кибербезопасности. По каждой находке Claude выдаёт объяснение с оценкой достоверности, степенью серьёзности, вероятным воздействием и шагами воспроизведения, а также инструкцию по исправлению. Её можно открыть в Claude Code on the Web — браузерной версии Claude Code — чтобы довести патч до готовности прямо в контексте кодовой базы, не переключаясь в терминал или локальную интегрированную среду разработки (IDE). За плечами у релиза два месяца тестирования в сотнях организаций. Многоэтапный конвейер валидации самостоятельно проверяет каждую находку до того, как она попадёт к аналитику, и прикрепляет к ней оценку достоверности — до команды доходит только сигнал, на который стоит реагировать. Несколько команд прошли путь от сканирования до применённого патча за один сеанс вместо нескольких дней переписки между службой безопасности и инженерами. Anthropic также добавила возможность включать сканирование по расписанию для регулярного контроля вместо разовых аудитов кодовой базы. Технологические партнёры Anthropic — CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI и Wiz — встраивают возможности Opus 4.7 в платформы безопасности, на которых корпорации уже работают. Сервисные партнёры Accenture, BCG, Deloitte, Infosys и PwC совместно с корпоративными службами безопасности развёртывают решения на базе Claude для управления уязвимостями, анализа безопасности кода и реагирования на инциденты. Доступ к новинке у пользователей с тарифами Claude Team и Claude Max появится в ближайшее время. В cPanel нашли дыру, позволяющую войти в админку миллионов сайтов без пароля
01.05.2026 [11:23],
Дмитрий Федоров
Злоумышленники активно эксплуатируют критическую уязвимость CVE-2026-41940 в cPanel и WebHost Manager (WHM) — серверном ПО для управления веб-хостингом, которым пользуются десятки миллионов владельцев сайтов по всему миру. Ошибка позволяет удалённо обойти экран авторизации и получить полный доступ к панели администрирования, а вместе с ней — ко всем сайтам, почте, базам данных и конфигурациям на сервере. Крупные хостинг-провайдеры уже установили обновления.
Источник изображения: Wesley Tingey / unsplash.com Уязвимость затрагивает все поддерживаемые версии cPanel и WHM. Оба пакета обеспечивают глубокий доступ к серверам: управляют размещёнными сайтами, электронной почтой и критически важными настройками доменов. Компрометация такого ПО даёт атакующему потенциально неограниченный доступ ко всем обрабатываемым данным. Разработчик cPanel призвал клиентов самостоятельно убедиться в установке обновлений, даже если их хостинг-провайдер уже применил исправления. Канадский центр кибербезопасности (Canadian Centre for Cyber Security) предупредил в бюллетене, что уязвимость позволяет скомпрометировать сайты на серверах общего хостинга, в том числе у крупных провайдеров. Ведомство заявило, что «эксплуатация весьма вероятна», и потребовало от клиентов cPanel и их хостинг-провайдеров незамедлительных действий для предотвращения несанкционированного доступа. Хостинг-провайдер Namecheap сообщил, что заблокировал доступ к панелям cPanel сразу после того, как узнал об уязвимости, — мера позволила предотвратить эксплуатацию и выиграть время на установку обновлений. HostGator также установил обновления и охарактеризовал проблему как «критическую уязвимость обхода аутентификации». Один из хостинг-провайдеров обнаружил, что злоумышленники использовали уязвимость за несколько месяцев до её публичного раскрытия. Генеральный директор KnownHost Дэниел Пирсон (Daniel Pearson) написал на Reddit, что компания зафиксировала попытки эксплуатации ещё 23 февраля. KnownHost тоже ненадолго заблокировал доступ к клиентским системам перед установкой обновлений. По словам Пирсона, примерно 30 серверов в сети компании сигнализировали о попытках несанкционированного доступа. Пирсон подчеркнул, что речь идёт именно о попытках, а признаков успешного взлома обнаружено не было. Разработчик cPanel также выпустил обновление безопасности для WP Squared — аналогичного инструмента для управления сайтами на WordPress. Microsoft подтвердила, что уязвимость Windows позволяет красть пароли без единого клика
28.04.2026 [14:15],
Дмитрий Федоров
Microsoft подтвердила активную эксплуатацию уязвимости CVE-2026-32202 в Windows Shell, исправленной в ежемесячном обновлении безопасности с оценкой CVSS 4,3. По данным исследователя из компании Akamai Маора Дахана (Maor Dahan), уязвимость возникла из-за неполного февральского патча для CVE-2026-21510 и позволяет красть учётные данные без каких-либо действий со стороны жертвы: атакующий похищает хеш NTLM-аутентификации через автоматически обрабатываемые LNK-файлы.
Источник изображения: Tadas Sar / unsplash.com Уязвимость относится к типу спуфинг (spoofing) — атакующий подменяет данные, чтобы выдать вредоносный объект за доверенный. Формально Microsoft описывает сценарий, при котором жертва должна запустить вредоносный файл, однако в цепочке эксплойтов хакерской группировки APT28 Windows обрабатывает LNK-файл автоматически и кража учётных данных происходит без каких-либо действий пользователя. После запуска вредоносного объекта жертвой атакующий получает доступ к части конфиденциальных данных затронутого компонента, но не может ни изменить раскрытую информацию, ни ограничить доступ к ресурсу. Бюллетень компания скорректировала 27 апреля 2026 года: индекс эксплуатируемости, флаг эксплуатации и вектор CVSS при первой публикации 14 апреля были указаны неверно. Уязвимость обнаружил Дахан и уведомил о ней Microsoft. По словам исследователя, проблема возникла из-за неполного исправления февральской CVE-2026-21510 (CVSS 8,8) в том же Windows Shell. APT28, известная также под именами Fancy Bear, Forest Blizzard, GruesomeLarch и Pawn Storm, использовала уязвимость в связке с CVE-2026-21513 (CVSS 8,8) в MSHTML Framework. Обе ошибки позволяли обойти функции сетевой безопасности, и обе Microsoft закрыла одновременно. Американская компания Akamai, специализирующаяся на кибербезопасности, зафиксировала эксплуатацию CVE-2026-21513 группировкой APT28 месяцем ранее.
Уязвимость CVE-2026-21510. Источник изображения: thehackernews.com Технически атака опиралась на механизм разбора пространства имён Windows Shell. Хакеры APT28 размещали динамическую библиотеку (DLL) на удалённом сервере и загружали её на машину жертвы по UNC-пути. Windows обрабатывала такую DLL как объект панели управления (CPL), не проверяя сетевую зону. Февральский патч добавил проверку SmartScreen для цифровой подписи и зоны происхождения CPL-файла, что снизило риск удалённого выполнения кода. Однако механизм аутентификации остался прежним: машина жертвы по-прежнему обращалась к серверу атакующего и автоматически загружала CPL-файл, разрешая UNC-путь и устанавливая SMB-соединение без участия пользователя. Если путь к файлу указывает на сетевой ресурс в формате UNC (например, \\attacker.com\share\payload.cpl), Windows автоматически устанавливает соединение с этим сервером по протоколу SMB. При этом система отправляет хеш аутентификации NTLM (Net-NTLMv2) без ведома пользователя. Перехватив хеш, атакующий может перенаправить его на другой сервер (атака NTLM relay) или подобрать пароль офлайн. «Хотя Microsoft устранила исходное удалённое выполнение кода (CVE-2026-21510), уязвимость принуждения к аутентификации (CVE-2026-32202) сохранилась, — резюмировал Дахан. — Windows разрешает сетевой путь и начинает аутентификацию до того, как проверяет, заслуживает ли сервер доверия. Это и оставляет вектор атаки без участия пользователя через автоматически обрабатываемые LNK-файлы». Сверхмощная ИИ-модель Mythos попала не в те руки, но это не точно — Anthropic расследует инцидент
22.04.2026 [08:39],
Алексей Разин
Выпущенная Anthropic ИИ-модель Mythos, которая с помощью технологий искусственного интеллекта ищет уязвимости в программном обеспечении, изначально была предложена в ограниченном доступе из соображений безопасности. Теперь появились сведения о первом инциденте получения к Claude Mythos Preview несанкционированного доступа сторонними пользователями.
Источник изображения: Anthropic Впрочем, как поясняет Financial Times со ссылкой на комментарии представителей Anthropic, получившие доступ к Claud Mythos Preview лица не были случайными в полной мере, поскольку связаны с подрядчиками, работающими на саму Anthropic. Сама по себе информация о подобном инциденте только усилит обеспокоенность регуляторов во многих уголках мира. В частности, власти Австралии, Южной Кореи и Японии уже озабочены тем, что Mythos в руках злоумышленников может представлять угрозу для национальных банковских систем. Anthropic пока не располагает доказательствами того, что активность пользователей, получивших доступ к Mythos через подрядчика, распространилась за пределы контролируемого окружения. Кто именно из партнёров Anthropic замешан в этом инциденте, не уточняется. Считается, что доступ к Mythos получили примерно 40 организаций, но публично Anthropic называет имена лишь малой части из них, включая Amazon, Microsoft, Apple, Cisco и CrowdStrike. Эти компании получили приоритетное право использования ИИ-модели Mythos до того, как она выйдет на рынок с более серьёзным охватом. Специалисты по кибербезопасности предупредили, что Mythos позволяет злоумышленникам использовать уязвимости в ПО быстрее, чем их разработчики смогут их устранить. В марте описание ИИ-модели попало в публичный доступ через кеш данных, после чего Anthropic резко усилила внутренние меры безопасности, стараясь предотвратить более серьёзные утечки. Впрочем, это не предотвратило апрельскую утечку программного кода Claude Code, который предназначался для служебного использования. Регуляторы увидели в ИИ-модели Anthropic Mythos угрозу для банковской системы
20.04.2026 [12:22],
Алексей Разин
В лучших традициях фантастических сюжетов про «восстание машин», стартап Anthropic открыл доступ к специализирующейся на поиске уязвимостей в ПО модели Mythos лишь ограниченному кругу пользователей. Тем не менее, представители монетарных систем некоторых стран считают, что даже в таком ограниченном применении Mythos может представлять угрозу для банковской системы.
Источник изображения: Anthropic По меньшей мере, как отмечает Reuters, регуляторы считают, что Mythos можно использовать для дестабилизации банковской системы через поиск уязвимостей в сфере кибербезопасности. Австралийская комиссия по ценным бумагам и инвестициям (ASIC) через своего представителя заявила, что пристальным образом обменивается данными с регулирующими органами других стран с целью определения возможных сфер применения Mythos на австралийском рынке. Правительственные агентства и представители финансового сектора тоже участвуют в консультациях. Лицензиаты подобных сервисов в финансовом сегменте рынка, по мнению ASIC, должны быть «на шаг впереди всех» при обеспечении защиты интересов своих клиентов. Австралийский банковский регулятор APRA также анализирует возможное влияние подобных технологий на стабильность и безопасность финансовой системы. В Южной Корее Комиссия по финансовым услугам (FSC) также провела в минувшую среду экстренное совещание со специалистами в сфере информационной безопасности, чтобы оценить исходящую от Mythos угрозу для участников финансового рынка. В условиях активной цифровизации финансовых услуг забота о безопасности в профильной сфере обретает всё большее значение, учитывая бурное развитие искусственного интеллекта. ИИ-модель Mythos заставила власти США пойти на контакт с «угрожающей национальной безопасности» Anthropic
19.04.2026 [18:53],
Дмитрий Федоров
Глава Anthropic встретится с руководителем аппарата Белого дома на фоне опасений, связанных с новой ИИ-моделью Mythos, способной выявлять уязвимости в программном коде. По данным Anthropic, эта модель уже обнаружила тысячи брешей во всех основных операционных системах (ОС) и браузерах, и теперь её возможности изучают чиновники из окружения президента США.
Источник изображения: anthropic.com Встреча Дарио Амодеи (Dario Amodei) с руководителем аппарата Белого дома Сьюзи Уайлс (Susie Wiles) происходит в условиях острого противоречия: администрация одновременно пытается занести Anthropic в «чёрный список» и вынуждена взаимодействовать с ней по вопросам кибербезопасности. Чиновники Белого дома и Национального института стандартов и технологий (NIST) анализируют последствия запуска Mythos и рассматривают расширение доступа к модели для федеральных ведомств — следует из внутренней переписки, полученной The Washington Post. Особую обеспокоенность испытывают Уайлс, вице-президент Джей Ди Вэнс (JD Vance) и министр финансов Скотт Бессент (Scott Bessent), рассказал источник, знакомый с ходом переговоров. Anthropic не стала публично выпускать ИИ-модель и создала коалицию крупных технологических корпораций для оценки рисков в рамках инициативы Project Glasswing. Государственные органы по кибербезопасности компания уведомила заранее. «Учитывая темпы развития ИИ, пройдёт немного времени, прежде чем подобные возможности распространятся — возможно, среди тех, кто не намерен применять их ответственно, — говорится в официальном заявлении компании. — Последствия для экономики, общественной безопасности и национальной безопасности могут оказаться серьёзными». OpenAI тем временем завершает разработку собственного ИИ следующего поколения под кодовым названием Spud. Федеральные ведомства среагировали быстро. Бессент и глава Федеральной резервной системы Джером Пауэлл (Jerome Powell) собрали в Вашингтоне руководителей крупнейших банков, призвав их серьёзно отнестись к угрозам. «Я уверен, что все теперь гребут в одном направлении — создают устойчивость», — заявил Бессент в интервью CNBC в среду. Anthropic стала первой крупной ИИ-компанией, получившей допуск к засекреченным системам федеральных ведомств. Отношения дали трещину, когда Пентагон потребовал права применять Claude в любых законных целях, включая управление автономным оружием и массовую слежку. Амодеи ответил отказом, но позже встретился с министром войны Питом Хегсетом (Pete Hegseth), однако переговоры зашли в тупик в конце февраля. Суд Сан-Франциско признал внесение компании в «чёрный список» незаконным, однако апелляционный суд в Вашингтоне вынес предварительное решение, сохранив запрет в силе. Несмотря на официальный разрыв с Пентагоном, Claude остался интегрирован в военные системы, поэтому в ту же ночь, когда администрация объявила о прекращении сотрудничества, ИИ-модель использовалась для поддержки авиационных ударов по Ирану. Чтобы восстановить отношения с Белым домом, в марте Anthropic наняла лоббиста Брайана Балларда (Brian Ballard), имеющего тесные связи с командой президента, потратив на это $130 000. |