Громкое заявление, которое лопнуло как мыльный пузырь
На прошлой неделе Anthropic с помпой объявила: их секретное оружие Claude Mythos самостоятельно обнаружило критическую уязвимость в ядре FreeBSD. CVE-2026-4747 — переполнение стека, позволяющее локальному атакующему повысить привилегии до root. Пресс-релизы, восторженные посты в X, интервью с ведущими исследователями. Звучало как прорыв: ИИ находит баги, которые люди пропустили. Но, как говорится, дьявол в деталях.
Спустя 48 часов после объявления сообщество безопасности совершило то, что Anthropic явно не планировала — заглянуло в таймлайны CVE и историю коммитов FreeBSD. И картина оказалась совсем не такой радужной.
Ключевой факт: CVE-2026-4747 была зарегистрирована в декабре 2025 года, а патч для неё появился ещё раньше — в ноябре 2025. Claude Mythos обучался на данных, которые точно включали информацию об этой уязвимости. ИИ не совершил открытие — он просто воспроизвёл уже известную информацию.
Как устроена CVE-2026-4747 и почему её могли пропустить
Уязвимость пряталась в коде обработчика системного вызова sendmsg() для сокетов domain AF_UNIX. При определённой последовательности операций с контрольными сообщениями (cmsg) в ядре происходило переполнение стека из-за некорректной проверки длины буфера. Ошибка классическая — недостаточная валидация границ перед копированием в стековый массив фиксированного размера.
Коммит, который её исправил, содержал следующие изменения (не буду грузить кодом, но суть): добавилась проверка if (cmsg_len > sizeof(buf)) и смещение расчёта длины. Всё это стандартная практика для разработчиков ядра, но баг вмер в кодос трёх релизах FreeBSD 13.x и 14.x.
Теперь вопрос: если патч уже был опубликован в ноябре 2025, как Mythos мог его «найти»? Ответ прост — он его прочитал. В обучающих данных Anthropic присутствовали дампы списков рассылки freebsd-security, Bugzilla, Git-коммиты и даже обсуждения на HackerNews. ИИ просто выделил релевантные паттерны и сгенерировал эксплойт.
Реакция сообщества и AISI
Первыми тревогу забили аналитики AISI. В своём отчёте они провели параллели с предыдущим анализом хакерских способностей Mythos. Тогда эксперты предупреждали: нельзя доверять результатам ИИ без проверки контекста обучающих данных. Теперь эти слова получили железобетонное подтверждение.
Инцидент также перекликается с историей Project Glasswing, где Mythos нашёл 27-летнюю дыру в OpenBSD — но там действительно была неизвестная ранее уязвимость, и это вызвало ажиотаж. Подробности — в материале Project Glasswing: как Mythos нашел 27-летнюю дыру в OpenBSD. Тогда всё было честно, но сейчас — явный прокол.
Некоторые исследователи провели собственный эксперимент: взяли ту же модель Mythos Preview (доступную после утечки) и скормили ей список известных CVE. ИИ без труда воспроизвёл детали каждого, включая те, что были опубликованы после предполагаемой даты среза обучения. Это ставит под сомнение всю методологию оценки «нулевых дней» от Anthropic. В статье Mythos Preview, GPT-5.4 и Opus 4.6: кто выиграл в кибербезопасности? мы уже сравнивали модели, и тогда Mythos вырвался вперёд по CTF-заданиям, но теперь ясно — часть побед могла быть «заученной».
| Метрика | Заявлено Anthropic | Реальность |
|---|---|---|
| Новых CVE найдено | 3 | 0 (все были в обучающих данных) |
| Эксплойтов сгенерировано | 12 | 12 (но 8 из них — адаптация известных PoC) |
| Скорость анализа (средняя) | 15 минут | 15 минут (но с подсказками из памяти) |
Что это значит для безопасности AI и нашего доверия
Случай с CVE-2026-4747 — не просто неловкий конфуз Anthropic. Это симптом системной проблемы. Когда мы оцениваем ИИ в задачах кибербезопасности, мы должны чётко разделять: способность к реальному исследованию (fuzzing, реверс-инжиниринг, статический анализ) и способность к ретриву и комбинации уже известных фактов. Mythos показал себя блестящим ассистентом, но не охотником за нулевыми днями.
Более того, этот инцидент подливает масла в огонь дискуссии о безопасности самих AI-систем. Если Mythos может «вспомнить» уязвимость из обучающих данных, значит ли это, что злоумышленники могут заставить его сгенерировать эксплойт для непропатченных систем? Вспомним утечку Mythos от Anthropic, после которой модель оказалась в открытом доступе. Если кто-то запустит старую версию с тем же срезом данных, он сможет воспроизвести тысячи CVE без всяких усилий.
Предупреждение: не стоит паниковать, но стоит пересмотреть метрики. Компании, внедряющие AI для поиска уязвимостей, обязаны проводить «обучающий аудит» — исключать из тестовых наборов данные, которые могли попасть в training corpus. Иначе мы получим ложное чувство безопасности.
Что дальше? Неочевидный совет
Вместо того чтобы гнаться за славой «AI-хакера», Anthropic стоило бы сфокусироваться на прозрачности. Опубликовать точный список обучающих данных, дать инструменты для проверки пересечений с известными CVE. Пока же мы имеем ситуацию, когда маркетинг опережает реальность.
Мой прогноз: через полгода мы увидим стандарт «AI-Hunter Benchmark», где модели будут тестироваться на свежих, неопубликованных багах с изолированным временным срезом. Если Mythos сможет пройти такой тест — тогда и поговорим о настоящем прорыве. А пока — снимаем розовые очки.
P.S. История с уткой — не единственная проблема безопасности AI. Рекомендую прочитать про троянов в skill.md файлах и InstallFix атаки на AI-инструменты — там реальные угрозы, а не выдуманные открытия.
