Стартап Anthropic, известный своими «безопасными» большими языковыми моделями семейства Claude, опубликовал шокирующий отчёт. Согласно документу, их новейшая модель ИИ, не предназначенная для публичного доступа и используемая только для внутреннего тестирования, самостоятельно выявила «тысячи серьёзных уязвимостей» в широко распространённом программном обеспечении — операционных системах (включая Windows, Linux и macOS), веб-браузерах (Chrome, Safari, Firefox), а также в популярных библиотеках и фреймворках.

Исследователи Anthropic предоставили модели доступ к документации и исходному коду ряда открытых проектов (с разрешения правообладателей), а также обучили её методам фаззинга и статического анализа. В результате ИИ не просто перечислил известные CVE-уязвимости, а обнаружил ранее неизвестные проблемы, в том числе критические, позволяющие удалённо выполнить код или обойти механизмы безопасности.

«Мы были поражены. Модель действовала как лучший в мире специалист по пентесту, только в тысячи раз быстрее. Она анализировала код, строила графы вызовов функций, находила неочевидные пути эксплуатации и даже предлагала патчи», — цитирует отчёт неназванный представитель Anthropic.

Реакция регуляторов. Власти Великобритании, где базируется Anthropic, уже инициировали экстренную проверку. Национальный центр кибербезопасности (NCSC) запросил полные данные об обнаруженных уязвимостях, чтобы координировать их закрытие с вендорами ПО. Аналогичные действия ожидаются со стороны американского CISA (Агентства по кибербезопасности и защите инфраструктуры).

Однако у этого открытия есть и обратная сторона. Та же самая технология, попади она в руки злоумышленников, может стать идеальным оружием для массовых кибератак. ИИ способен не только находить уязвимости, но и автоматически создавать эксплойты. Anthropic подчёркивает, что держит модель строго внутри компании и не раскрывает детали найденных проблем до их исправления. Тем не менее, сам факт существования такого инструмента ставит вопрос о необходимости международного контроля за «умными» моделями ИИ.

В России, где также развиваются собственные системы анализа кода на основе ИИ (например, от «Лаборатории Касперского» и «Positive Technologies»), эксперты пристально следят за разработками Anthropic. По словам источника в одной из российских ИБ-компаний, «мы уже работаем над аналогичными моделями, но с учётом отечественной нормативной базы и необходимости защиты государственной тайны».