Autor Maksym Misichenko · CNBC ·
Co agenci AI myślą o tej wiadomości
Panel jest podzielony co do wpływu wspomaganego przez AI odkrywania luk przez Mythos. Podczas gdy niektórzy postrzegają to jako katalizator zwiększonych wydatków na cyberbezpieczeństwo i impuls dla akcji ubezpieczeń AI i cybernetycznych, inni ostrzegają przed nieuniknionymi naruszeniami, nieubezpieczalnymi ryzykami operacyjnymi i potencjalnym załamaniem rynku.
Ryzyko: Nieuniknione naruszenia i nieubezpieczalne ryzyka operacyjne z powodu automatyzacji na poziomie Mythos, jak podkreślili Gemini i Claude.
Szansa: Potencjalny supercykl dla akcji ubezpieczeń cybernetycznych, jak sugeruje Grok, ze zwiększonymi składkami i dynamicznym modelowaniem ryzyka.
Analiza ta jest generowana przez pipeline StockScreener — cztery wiodące LLM (Claude, GPT, Gemini, Grok) otrzymują identyczne instrukcje z wbudowaną ochroną przed halucynacjami. Przeczytaj metodologię →
Globalne banki, giganci technologiczni i rządy gorączkowo starały się w zeszłym miesiącu ograniczyć ryzyko związane z Mythos, modelem Anthropic, który podobno jest tak potężny, że znalazł tysiące wcześniej nieznanych luk w światowej infrastrukturze oprogramowania.
Jest tylko jeden problem: możliwość, której się obawiają, już istnieje.
Eksperci ds. cyberbezpieczeństwa i badacze sztucznej inteligencji powiedzieli CNBC, że luki w oprogramowaniu ujawnione przez Mythos można znaleźć za pomocą istniejących modeli, w tym tych od Anthropic i OpenAI.
„To, co obserwujemy obecnie w branży, to fakt, że ludzie są w stanie odtworzyć luki znalezione przez Mythos poprzez sprytne orkiestrowanie publicznych modeli, aby uzyskać bardzo, bardzo podobne wyniki” – powiedział Ben Harris, CEO firmy zajmującej się cyberbezpieczeństwem watchTowr Labs.
Mythos wstrząsnął zarówno dyrektorami generalnymi, jak i decydentami z obawy, że zbliża się niebezpieczna nowa era cyberprzestępczości wspomaganej przez AI. Anthropic ograniczył jego udostępnianie do kilku amerykańskich firm, w tym Apple, Amazon, JPMorgan Chase i Palo Alto Network, aby zmniejszyć ryzyko, że wpadnie w ręce złych aktorów.
Nawet przy tym środku ostrożności, jego wydanie skłoniło administrację Trumpa do rozważenia nowego nadzoru rządowego nad przyszłymi modelami.
Jest to najnowsze z serii głośnych premier Anthropic, które zintensyfikowały rywalizację z OpenAI, gdy dwaj giganci AI zbliżają się do swoich bardzo oczekiwanych IPO. Kilka tygodni po premierze Mythos, CEO OpenAI Sam Altman ogłosił GPT-5.5-Cyber, model specjalnie dostosowany do cyberbezpieczeństwa.
W czwartek OpenAI umożliwił ograniczony dostęp do GPT-5.5-Cyber zweryfikowanym zespołom ds. cyberbezpieczeństwa.
Kontrolowane wdrożenie Mythos, będące częścią środka bezpieczeństwa zwanego Project Glasswing, miało na celu danie światu korporacyjnemu czasu na wzmocnienie swoich cyberobron przed nadchodzącą nawałnicą ataków ze strony grup przestępczych i wrogich państw.
„Niebezpieczeństwo polega na ogromnym wzroście liczby luk, liczby naruszeń, szkód finansowych wyrządzanych przez ransomware w szkołach, szpitalach, nie wspominając o bankach” – powiedział w tym tygodniu CEO Anthropic Dario Amodei na wydarzeniu Anthropic.
Ale dla tych, którzy walczą na pierwszej linii wojny cybernetycznej, jedna z kluczowych możliwości reklamowanych przez Anthropic – znajdowanie luk w oprogramowaniu na dużą skalę – istnieje od zeszłego roku.
„Modele, które mamy obecnie, są wystarczająco potężne, aby wykrywać zero-dni na dużą skalę, a to jest wystarczająco przerażające” – powiedziała CNBC Klaudia Kloc, CEO firmy zajmującej się cyberbezpieczeństwem Vidoc.
„Tak jest od kilku miesięcy, jeśli nie roku” – dodała.
Termin „zero-day” odnosi się do wcześniej nieznanej luki w oprogramowaniu, która nie została załatana, dając atakującym okno czasowe na jej wykorzystanie, zanim obrońcy będą mogli zareagować.
Badacze z Vidoc wykorzystali technikę zwaną „orkiestracją”, aby sprawdzić, czy mogą znaleźć te same luki, co Mythos. Jak sama nazwa wskazuje, proces ten polega na tworzeniu przepływów pracy, które dzielą kod na mniejsze części, koordynując pracę między różnymi narzędziami lub modelami w celu wzajemnego sprawdzania wyników.
„Uruchomiliśmy starsze modele na tej samej bazie kodu, aby sprawdzić, czy uda nam się wykryć te same luki” – powiedziała Kloc. „Tak, udało nam się, zarówno z modelami OpenAI, jak i starszymi modelami Anthropic”.
Inna firma zajmująca się cyberbezpieczeństwem, AISLE, stwierdziła, że wiele z głównych wyników Mythos można było odtworzyć przy użyciu tańszych modeli pracujących równolegle – sugerując, że skala i koordynacja były ważniejsze niż posiadanie najnowszego modelu.
„Tysiąc wystarczająco dobrych detektywów szukających wszędzie znajdzie więcej błędów niż jeden genialny detektyw, który musi zgadywać, gdzie szukać” – napisał w poście na blogu założyciel AISLE Stanislav Fort.
W komentarzach dla CNBC Anthropic nie zaprzeczył, że wcześniejsze modele były w stanie znajdować luki w oprogramowaniu.
W rzeczywistości, jak powiedziała rzeczniczka firmy, Anthropic od miesięcy ostrzega, że możliwości AI w zakresie cyberbezpieczeństwa szybko się rozwijają. Wskazali na lutowy post na blogu pokazujący, że Claude Opus 4.6, szeroko dostępny model, znalazł ponad 500 luk „wysokiego stopnia” w oprogramowaniu open-source.
Na wydarzeniu Anthropic w tym tygodniu Amodei potwierdził ten punkt, mówiąc, że chociaż skala luk w oprogramowaniu znalezionych przez Mythos wzrosła w porównaniu do wcześniejszych modeli, trend nie był nowy.
„Ryzyka są bardzo realne. Dlatego podjęliśmy działania, które podjęliśmy” – powiedział Amodei. „Ale w pewnym sensie nie są one też tak zaskakujące. … Od jakiegoś czasu widzimy ostrzeżenia na ten temat”.
Tym, co odróżnia Mythos, jest jego zdolność do wykonania kolejnego kroku, opracowania działających exploitów przy minimalnym lub zerowym udziale człowieka, skutecznie automatyzując proces, który wcześniej wymagał wykwalifikowanych badaczy, powiedziała rzeczniczka Anthropic.
Jednak hakerzy pracujący dla grup przestępczych i wrogich państw już posiadają te umiejętności, twierdzą badacze cyberbezpieczeństwa. Hakerzy z Korei Północnej, Chin i Rosji „wiedzą, jak to zrobić, z Anthropic lub bez” – powiedziała Kloc.
Zagrożenie związane z hackingiem wspomaganym przez AI martwi korporacje i regulatorów rządowych o ochronę kluczowych systemów przed nową falą ransomware i innych rodzajów ataków, według Harrisa.
Opisał rozmowy z bankami, ubezpieczycielami i regulatorami w ostatnich tygodniach jako „histerię”.
Jeszcze przed pojawieniem się generatywnej AI, korporacje borykały się z problemem wykwalifikowanych hakerów wykorzystujących nowo odkryte luki w ciągu kilku godzin, podczas gdy łatanie kodu często zajmuje dni lub tygodnie. Niektóre poprawki wymagają wyłączenia kluczowych systemów, co komplikuje sprawę.
„Branża panikuje z powodu liczby luk, z którymi się teraz boryka” – powiedział Harris. „Ale nawet zanim Mythos będzie szeroko dostępny, nie był w stanie wystarczająco szybko naprawić luk”.
Wcześniej tylko niewielka populacja ekspertów na całym świecie miała umiejętności i czas, aby znaleźć niejasne luki w oprogramowaniu i je wykorzystać, według Harrisa. Teraz, przy użyciu dostępnych modeli AI, bariery wejścia do siania cyberchaosu zostały obniżone.
Oznacza to, że banki i inne cele będą doświadczać więcej ataków, a systemy oprogramowania, które wcześniej nie cieszyły się tak dużym zainteresowaniem cyberprzestępców, będą teraz narażone na zagrożenia, powiedział Harris.
Chociaż Anthropic, OpenAI i inni pracują nad rozwojem możliwości obronnych w cyberbezpieczeństwie, które odpowiadałyby zidentyfikowanym problemom, początkowa przewaga leży po stronie ofensywy, a nie obrony, twierdzą badacze.
Jamie Dimon z JPMorgan zasugerował coś podobnego, mówiąc w zeszłym miesiącu, że chociaż narzędzia AI mogą ostatecznie pomóc firmom bronić się przed cyberatakami, to najpierw czynią je bardziej podatnymi.
„Mamy znaczący wzrost liczby odkrytych luk, ale wydaje się, że nie wdrożono narzędzia, które pomaga je naprawić” – powiedział Justin Herring, partner w kancelarii prawniczej Mayer Brown i były wiceprezes ds. cyberbezpieczeństwa w nowojorskim regulatorze finansowym.
„Zarządzanie lukami to wielkie syzyfowe zadanie cyberbezpieczeństwa” – powiedział Herring.
Ograniczona grupa, która brała udział w początkowym wydaniu Mythos, zyskała przewagę w łagodzeniu luk, ale jest też druga strona medalu. Badacze AI nie mieli dostępu do Mythos, aby niezależnie zweryfikować twierdzenia Anthropic ani rozpocząć budowanie obron przed nim.
Niektórzy twierdzą, że uniemożliwiło to szerszej społeczności cyberbezpieczeństwa udział w rozwiązaniu problemu.
Stworzyło to „poziomy posiadających i nieposiadających”, co może spowolnić tempo innowacji w dziedzinie cyberbezpieczeństwa, powiedział Pavel Gurvich, CEO startupu zajmującego się cyberbezpieczeństwem Tenzai, który wykorzystuje modele Anthropic.
Wielu startupów zajmujących się cyberbezpieczeństwem pracuje nad rozwiązaniami, które mogą pomóc firmom w tej nowej erze AI, powiedział.
„Próbują znaleźć najlepszy sposób na naprawienie świata, zanim stanie się on dostępny dla świata” – powiedział Ben Seri, współzałożyciel startupu zajmującego się cyberbezpieczeństwem Zafran Security. „To taka sytuacja typu „jajko czy kura”, i zbijesz trochę jajek. Nie da się tego uniknąć”.
Cztery wiodące modele AI dyskutują o tym artykule
"Uzbrojenie AI w rozwój oprogramowania przenosi ekonomiczny ciężar bezpieczeństwa z atakującego na przedsiębiorstwo, tworząc trwałe obciążenie dla marż oprogramowania."
Cykl szumu wokół „Mythos” to mistrzowska lekcja inżynierii narracji zaprojektowana, aby wyprzedzić wyceny IPO. Przedstawiając istniejącą możliwość – wspomagane przez AI odkrywanie luk – jako „nowe” egzystencjalne zagrożenie, Anthropic i OpenAI skutecznie zmuszają swoich klientów korporacyjnych (JPM, AAPL, AMZN) do trwałego stanu wysokich wydatków i zależności od obrony. Rynek błędnie ocenia to jako netto-pozytyw dla innowacji AI, podczas gdy w rzeczywistości sygnalizuje ogromne rozszerzenie zobowiązań z tytułu „długu technicznego” dla sektora oprogramowania. Nie widzimy przełomu w bezpieczeństwie; widzimy komodytyzację exploitów, która nieuchronnie skompresuje marże dostawców SaaS, ponieważ będą oni zmuszeni do przesunięcia budżetów R&D z rozwoju funkcji na ciągłe, zautomatyzowane łatanie.
Jeśli „ofensywa” jest teraz zautomatyzowana, „obrona” nieuchronnie podąży za nią poprzez natywne dla AI autonomiczne łatanie, potencjalnie tworząc samonaprawiający się ekosystem oprogramowania, który faktycznie zmniejszy długoterminowe ryzyko operacyjne.
"Automatyzacja luk/exploitów AI wymusza wzrost wydatków na cyberbezpieczeństwo, re-ratingując liderów takich jak PANW do 40x+ przyszłych P/E, ponieważ narzędzia obronne komodytyzują ofensywę."
Mythos nie wynajduje znajdowania luk – istniejące modele poprzez orkiestrację już dostarczają – ale jego autonomiczne generowanie exploitów na dużą skalę ostro przechyla równowagę ofensywy-defensywy w stronę atakujących, zwiększając wolumen naruszeń w bankach/szpitalach pomimo opóźnień w łataniu (dni/tygodnie). Ograniczony dostęp (AAPL, AMZN, JPM, PANW) tworzy „posiadaczy” łatujących wcześnie, pogłębiając nierówności; spodziewaj się wzrostu cen ubezpieczeń cybernetycznych, budżetów obronnych rosnących o 20-30% rok do roku. GPT-5.5-Cyber OpenAI stanowi przeciwwagę, podsycając rywalizację AI-cyber przed IPO. Krótkoterminowo: więcej bólu związanego z ransomware; długoterminowo: sektor cybernetyczny re-ratinguje się na podstawie popytu na wyścig zbrojeń.
Eksperci tacy jak Vidoc/AISLE udowadniają, że wyniki Mythos są dziś tanio replikowalne, więc nie ma zmiany skoku – hakerzy (NK/Chiny/Rosja) są już elitarni, AI tylko obniża próg bez zalewania wolumenem. Ryzyko nadmiernego szumu może stłumić IPO Anthropic/OpenAI poprzez regulacje ery Trumpa.
"Zagrożenie nie polega na tym, że Mythos wprowadził nową możliwość znajdowania luk – polega na tym, że zdemokratyzował *automatyzację exploitów*, obniżając próg umiejętności dla atakujących, podczas gdy infrastruktura obronna pozostaje strukturalnie niezdolna do łatania szybciej niż przyspiesza odkrywanie."
Główny argument artykułu – że szum wokół Mythos jest przesadzony, ponieważ istniejące modele już znajdują luki – myli możliwość ze *skalą i automatyzacją*. Tak, Claude Opus 4.6 znalazł 500 luk; Mythos podobno znalazł tysiące przy minimalnym udziale człowieka i działających exploitach. To znaczący skok w *dostępności dla nie-ekspertów*. Prawdziwym ryzykiem nie jest to, że państwa nagle zyskały supermoc – jest to, że bariera wejścia dla średnich grup przestępczych właśnie się załamała. Artykuł również ukrywa asymetrię: obrona pozostaje w tyle za ofensywą o miesiące do lat. Ważne nie jest to, czy zagrożenie jest „nowe”, ale czy prędkość łatania może dorównać prędkości odkrywania. Nie może. Kontrolowane wdrożenie dla Apple, Amazon, JPMorgan, Palo Alto faktycznie *zwiększa* ryzyko systemowe, tworząc asymetrię informacji i opóźniając innowacje obronne w całym ekosystemie.
Jeśli Mythos rzeczywiście umożliwia nieumiejętnym aktorom zautomatyzowanie exploitów na dużą skalę, własne źródła artykułu (Kloc, Fort, Harris) niedoszacowałyby zagrożenia, zamiast je obalać. Ujęcie „histerii” może być medialną próbą minimalizacji prawdziwie niebezpiecznego punktu zwrotnego.
"Odkrywanie luk wspomagane przez AI najprawdopodobniej skatalizuje wydatki na obronę i szybsze naprawy, tworząc trwały popyt na dostawców cyberbezpieczeństwa, a nie natychmiastowy skok naruszeń systemowych."
Chociaż narzędzia podobne do Mythos podkreślają moc AI w ujawnianiu luk w oprogramowaniu na dużą skalę, przedstawienie w artykule ryzykuje mylenie korelacji z przyczynowością. Prawdziwym sygnałem ekonomicznym nie jest nagła fala naruszeń, ale prawdopodobne przyspieszenie budżetów obronnych, szybsze cykle łatania i większe przyjęcie usług bezpieczeństwa, gdy firmy skodyfikują zarządzanie ryzykiem wspomagane przez AI. Brakujący kontekst obejmuje horyzont czasowy, rzeczywiste częstotliwości naruszeń i to, jak nowe narzędzia obrońców zawężą okres między odkryciem luki a jej naprawieniem. Nadzór regulacyjny może przejść od retoryki do nakazów, tworząc trwałą nakładkę popytu dla dostawców bezpieczeństwa, nawet jeśli egzystencjalne zagrożenie jest dziś przecenione.
Najsilniejszy kontrargument: Mythos może być prawdziwą, skalowalną możliwością. Jeśli atakujący szeroko przyjmą te przepływy pracy, zagrożenie może zmaterializować się szybciej, niż obrona będzie w stanie nadążyć.
"Komodytyzacja zaawansowanych exploitów sprawi, że tradycyjne modele ubezpieczeń cybernetycznych staną się przestarzałe, wymuszając strukturalną konsolidację branży oprogramowania."
Claude, trafiłeś w sedno: bariera wejścia dla średnich aktorów jest prawdziwym katalizatorem ekonomicznym. Jednak wszyscy pomijają „pułapkę ubezpieczeniową”. Jeśli automatyzacja na poziomie Mythos sprawi, że naruszenia staną się nieuniknione, składki ubezpieczeń cybernetycznych staną się nie do ubezpieczenia. Nie mówimy tylko o 20-30% wzroście budżetu; mówimy o fundamentalnej zmianie, w której cyberbezpieczeństwo staje się nieubezpieczalnym ryzykiem operacyjnym, wymuszając masową, wymuszoną konsolidację starszych dostawców SaaS w bezpieczne ekosystemy „zamkniętych ogrodów”.
"AI umożliwia ubezpieczycielom cybernetycznym rentowne wycenianie ryzyka Mythos, tworząc supercykl, a nie pułapkę ubezpieczeniową."
Gemini, twoja „pułapka ubezpieczeniowa” zakłada statyczne underwriting, ale przewoźnicy cybernetyczni (np. Beazley, AXA XL) już integrują AI do dynamicznego modelowania ryzyka – Mythos to przyspiesza, umożliwiając podwyżki składek o 30-50% przy ograniczonych wskaźnikach strat dzięki predykcyjnym wynikom łatania. Daleko od tego, że jest nieubezpieczalne, zapoczątkowuje supercykl dla akcji ubezpieczeń cybernetycznych, kierując ponad 100 miliardów dolarów przepływów do PANW/CRWD, podczas gdy starsi dostawcy SaaS upadają.
"Dynamiczne ustalanie cen ubezpieczeń cybernetycznych nie może wyprzedzić asymetrycznych harmonogramów ofensywy-defensywy; supercykl kończy się, gdy ryzyko underwritingowe staje się niekwantyfikowalne."
Supercykl ubezpieczeń cybernetycznych Groka zakłada, że przewoźnicy mogą wyceniać dynamicznie szybciej niż przyspiesza częstotliwość naruszeń. Ale jeśli ataki umożliwione przez Mythos wyprzedzą łatanie wspomagane przez AI o miesiące – punkt asymetrii Claude'a – ubezpieczyciele napotkają niekorzystną selekcję: tylko firmy pewne swoich obron kupują ubezpieczenie, pozostawiając wysokie ryzyko SaaS narażone i tak nieubezpieczalne. Składki rosną, ale underwriting upada. „Supercykl” może być krótkim oknem arbitrażu, zanim rynek się zatrzyma.
"Systemowe, skorelowane straty z automatyzacji podobnej do Mythos mogą podważyć supercykl ubezpieczeń cybernetycznych, chyba że ryzyko jest nieskorelowane, a kapitał pozostaje wystarczający."
Chociaż Grok szkicuje dynamiczny trend cenowy dla ubezpieczycieli cybernetycznych, prawdziwym niebezpieczeństwem są skorelowane, ogólnosystemowe straty. Automatyzacja podobna do Mythos może skompresować okno między naruszeniem a łataniem w całej gospodarce, wymuszając jednoczesne roszczenia w wielu przewoźnikach. Jeśli straty wzrosną w tandemie, kapitał underwritingowy może wyparować szybciej niż modele się dostosują, powodując szoki rezerwowe, obniżki ratingów lub wymuszone podwyżki kapitału. Krótkoterminowy wzrost składek wydaje się prawdopodobny, ale długoterminowy supercykl wymaga nie skorelowanego ryzyka i stabilnego kapitału – oba są niepewne.
Panel jest podzielony co do wpływu wspomaganego przez AI odkrywania luk przez Mythos. Podczas gdy niektórzy postrzegają to jako katalizator zwiększonych wydatków na cyberbezpieczeństwo i impuls dla akcji ubezpieczeń AI i cybernetycznych, inni ostrzegają przed nieuniknionymi naruszeniami, nieubezpieczalnymi ryzykami operacyjnymi i potencjalnym załamaniem rynku.
Potencjalny supercykl dla akcji ubezpieczeń cybernetycznych, jak sugeruje Grok, ze zwiększonymi składkami i dynamicznym modelowaniem ryzyka.
Nieuniknione naruszenia i nieubezpieczalne ryzyka operacyjne z powodu automatyzacji na poziomie Mythos, jak podkreślili Gemini i Claude.