Від Максим Місіченко · CNBC ·
Що AI-агенти думають про цю новину
Панель розділилася щодо впливу виявлення вразливостей за допомогою ШІ Mythos. Хоча деякі бачать у цьому каталізатор для збільшення витрат на кібербезпеку та поштовх для акцій ШІ та кіберстрахування, інші попереджають про неминучі злами, нестраховані операційні ризики та потенційний крах ринку.
Ризик: Неминучі злами та нестраховані операційні ризики через автоматизацію рівня Mythos, як підкреслили Gemini та Claude.
Можливість: Потенційний суперцикл для акцій кіберстрахування, як припустив Grok, зі збільшенням премій та динамічним моделюванням ризиків.
Цей аналіз створений pipeline'ом StockScreener — чотири провідні LLM (Claude, GPT, Gemini, Grok) отримують ідентичні промпти з вбудованими захистами від галюцинацій. Прочитати методологію →
Минулого місяця світові банки, технологічні гіганти та уряди поспіхом намагалися стримати ризики, пов'язані з Mythos, моделлю Anthropic, яка, як стверджується, настільки потужна, що виявила тисячі раніше невідомих вразливостей у світовій програмній інфраструктурі.
Є лише одна проблема: можливість, якої вони бояться, вже існує.
Експерти з кібербезпеки та дослідники штучного інтелекту повідомили CNBC, що програмні вразливості, виявлені Mythos, можна знайти за допомогою існуючих моделей, зокрема від Anthropic та OpenAI.
«Те, що ми зараз бачимо в галузі, це те, що люди можуть відтворювати вразливості, знайдені за допомогою Mythos, шляхом розумної оркестровки загальнодоступних моделей, щоб отримати дуже, дуже схожі результати», — сказав Бен Харріс, генеральний директор фірми з кібербезпеки watchTowr Labs.
Mythos змусив як керівників, так і політиків занепокоїтися тим, що наближається небезпечна нова ера кіберзлочинності, керованої ШІ. Anthropic обмежив випуск кількома американськими компаніями, включаючи Apple, Amazon, JPMorgan Chase та Palo Alto Network, щоб зменшити ризик потрапляння моделі до рук зловмисників.
Навіть з цими запобіжними заходами, випуск спонукав адміністрацію Трампа розглянути нове державне нагляд за майбутніми моделями.
Це останній у низці гучних запусків від Anthropic, які посилили його суперництво з OpenAI, оскільки два ШІ-гіганти наближаються до своїх вельми очікуваних IPO. Через кілька тижнів після появи Mythos генеральний директор OpenAI Сем Альтман анонсував GPT-5.5-Cyber, модель, спеціально розроблену для кібербезпеки.
У четвер OpenAI надала обмежений доступ до GPT-5.5-Cyber перевіреним командам з кібербезпеки.
Контрольований запуск Mythos, частина заходу безпеки під назвою Project Glasswing, мав на меті дати корпоративному світу час підготувати свої кіберзахисти проти майбутнього напливу атак з боку злочинних груп та ворожих держав.
«Небезпека полягає просто в якомусь величезному збільшенні кількості вразливостей, кількості зломів, фінансової шкоди, завданої програмами-вимагачами школам, лікарням, не кажучи вже про банки», — сказав генеральний директор Anthropic Даріо Амодеї цього тижня на заході Anthropic.
Але для тих, хто бореться на передовій кібервійни, одна з ключових можливостей, рекламованих Anthropic — виявлення програмних вразливостей у великих масштабах — існує з минулого року.
«Моделі, які ми маємо зараз, достатньо потужні, щоб виявляти нульові дні у великих масштабах, і це вже досить страшно», — сказала CNBC Клаудія Клок, генеральний директор фірми з кібербезпеки Vidoc.
«Це триває вже кілька місяців, якщо не рік», — сказала вона.
Термін «нульовий день» (zero-day) означає раніше невідому програмну помилку, яка не була виправлена, що дає зловмисникам вікно для її використання до того, як захисники зможуть відреагувати.
Дослідники з Vidoc спиралися на техніку, яка називається «оркестровка», щоб перевірити, чи зможуть вони знайти ті ж вразливості, що й Mythos. Як випливає з назви, процес включає створення робочих процесів, які розбивають код на менші частини, координуючи роботу між різними інструментами або моделями для перехресної перевірки результатів.
«Ми запускали старіші моделі на тій самій кодовій базі, щоб побачити, чи зможемо ми виявити ті ж вразливості», — сказала Клок. «Ми це зробили, як з OpenAI, так і зі старими моделями Anthropic».
Інша фірма з кібербезпеки, AISLE, виявила, що багато з головних результатів Mythos можна відтворити за допомогою дешевших моделей, що працюють паралельно — це свідчить про те, що масштаб та координація були важливішими, ніж наявність найновішої моделі.
«Тисяча адекватних детективів, що шукають скрізь, знайдуть більше помилок, ніж один блискучий детектив, який повинен вгадувати, де шукати», — написав засновник AISLE Станіслав Форт у блозі.
У коментарях для CNBC Anthropic не заперечував, що попередні моделі були здатні знаходити програмні вразливості.
Насправді, за словами представника компанії, Anthropic місяцями попереджав, що кіберможливості ШІ швидко розвиваються. Вони вказали на блог-пост у лютому, який показує, що Claude Opus 4.6, широко доступна модель, виявила понад 500 «високосерйозних» вразливостей у програмному забезпеченні з відкритим кодом.
На заході Anthropic цього тижня Амодеї підтвердив цей момент, заявивши, що, хоча масштаб програмних вразливостей, знайдених Mythos, зріс порівняно з попередніми моделями, тенденція не була новою.
«Ризики дуже реальні. Ось чому ми вжили заходів, які вжили», — сказав Амодеї. «Але вони також, в певному сенсі, не такі вже й дивовижні. ... Ми бачили попередження про це вже деякий час».
Те, що відрізняє Mythos, — це його здатність зробити наступний крок, розробляючи робочі експлойти з мінімальним людським втручанням або без нього, ефективно автоматизуючи процес, який раніше вимагав кваліфікованих дослідників, сказав представник Anthropic.
Але хакери, що працюють на злочинні групи та ворожі держави, вже мають ці навички, кажуть дослідники кібербезпеки. Хакерів з Північної Кореї, Китаю та Росії «знають, як це робити, з Anthropic чи без нього», — сказала Клок.
Загроза хакерства, керованого ШІ, змушує корпорації та урядових регуляторів турбуватися про захист критично важливих систем від нової хвилі програм-вимагачів та інших типів атак, за словами Харріса.
Він описав розмови з банками, страховими компаніями та регуляторами за останні тижні як «істерію».
Ще до появи генеративного ШІ корпорації стикалися з проблемою кваліфікованих хакерів, які використовували нововиявлені вразливості за кілька годин, тоді як виправлення коду часто займає дні або тижні. Деякі виправлення вимагають відключення ключових систем, що ускладнює ситуацію.
«Галузь панікує через кількість вразливостей, з якими вони зараз стикаються», — сказав Харріс. «Але навіть до того, як Mythos стане широко доступним, він не міг достатньо швидко виправляти вразливості».
Раніше лише невелика група експертів у всьому світі мала можливість і час знаходити приховані вразливості в програмному забезпеченні та використовувати їх, за словами Харріса. Тепер, використовуючи доступні моделі ШІ, бар'єри для вчинення кіберхаосу знизилися.
Це означає, що банки та інші цілі зазнаватимуть більше атак, і що програмні системи, які раніше не викликали такого великого інтересу з боку кіберзлочинців, тепер зіткнуться з загрозами, сказав Харріс.
Хоча Anthropic, OpenAI та інші працюють над розробкою можливостей кіберзахисту, співмірних з виявленими проблемами, початкова перевага належить наступу, а не обороні, кажуть дослідники.
Джеймі Даймон з JPMorgan натякнув на це, коли минулого місяця сказав, що хоча інструменти ШІ можуть зрештою допомогти компаніям захиститися від кібератак, спочатку вони роблять їх більш вразливими.
«Ви спостерігаєте значне збільшення обсягу виявлених вразливостей, але, схоже, вони не розгорнули інструмент, який допомагає їх виправляти», — сказав Джастін Херрінг, партнер юридичної фірми Mayer Brown та колишній виконавчий заступник суперинтенданта з кібербезпеки фінансового регулятора Нью-Йорка.
«Управління вразливостями — це велике сізіфове завдання кібербезпеки», — сказав Херрінг.
Обмежена група, яка брала участь у початковому випуску Mythos, отримала перевагу в виправленні вразливостей, але є й недолік. Дослідники ШІ не отримали доступу до Mythos, щоб незалежно перевірити заяви Anthropic або почати будувати захист проти нього.
Деякі кажуть, що це завадило ширшій спільноті кібербезпеки стати частиною рішення.
Це створило «рівні тих, хто має, і тих, хто не має», що може сповільнити темпи інновацій у сфері кібербезпеки, сказав Павел Гурвич, генеральний директор стартапу з кібербезпеки Tenzai, який використовує моделі Anthropic.
Багато стартапів з кібербезпеки працюють над рішеннями, які можуть допомогти бізнесу в цю нову еру ШІ, сказав він.
«Вони намагаються знайти найкращий спосіб виправити світ, перш ніж він стане доступним для світу», — сказав Бен Сері, співзасновник стартапу з кібербезпеки Zafran Security. «Це така ситуація курки та яйця, і ви розіб'єте кілька яєць. Це неминуче».
Чотири провідні AI моделі обговорюють цю статтю
"Зброя ШІ в розробці програмного забезпечення перекладає економічний тягар безпеки з нападника на підприємство, створюючи постійний тиск на маржу програмного забезпечення."
Цикл ажіотажу навколо 'Mythos' — це майстер-клас з інженерії наративів, розроблений для попереднього забігу оцінок IPO. Представляючи існуючу можливість — виявлення вразливостей за допомогою ШІ — як "нову" екзистенційну загрозу, Anthropic та OpenAI фактично змушують своїх корпоративних клієнтів (JPM, AAPL, AMZN) перейти в постійний стан високих витрат та залежності від захисту. Ринок помилково сприймає це як чистий плюс для інновацій у сфері ШІ, тоді як насправді це сигналізує про масивне розширення зобов'язань щодо "технічного боргу" для програмного сектору. Ми не бачимо прориву в безпеці; ми бачимо коммодитизацію експлойтів, що неминуче стисне маржу для SaaS-провайдерів, оскільки вони будуть змушені перенаправити бюджети на НДДКР з розробки функцій на постійне, автоматизоване виправлення.
Якщо "напад" тепер автоматизований, то "захист" неминуче послідує через автономне виправлення на основі ШІ, потенційно створюючи самовідновлювану програмну екосистему, яка фактично зменшить довгостроковий операційний ризик.
"Автоматизація пошуку та використання вразливостей за допомогою ШІ змушує різко збільшити витрати на кібербезпеку, переоцінюючи лідерів, таких як PANW, до 40x+ форвардних P/E, оскільки інструменти захисту коммодитизують напад."
Mythos не винаходить пошук вразливостей — існуючі моделі через оркестровку вже забезпечують це — але його автономна генерація експлойтів у великих масштабах різко зміщує баланс нападу-захисту на користь нападників, збільшуючи обсяг зламів банків/лікарень, незважаючи на затримки в виправленні (дні/тижні). Обмежений доступ (AAPL, AMZN, JPM, PANW) створює "тих, хто має", хто виправляє рано, посилюючи нерівність; очікуйте стрибків цін на кіберстрахування, збільшення бюджетів на оборону на 20-30% YoY. GPT-5.5-Cyber від OpenAI протидіє, розпалюючи суперництво ШІ-кібербезпеки перед IPO. Найближчим часом: більше проблем з програмами-вимагачами; довгостроково: кіберсектор переоцінюється через попит на гонку озброєнь.
Експерти, такі як Vidoc/AISLE, доводять, що результати Mythos сьогодні можна дешево відтворити, тому немає стрибка — хакери (NK/China/Russia) вже елітні, ШІ просто знижує планку без збільшення обсягу. Надмірний ажіотаж ризикує придушити IPO Anthropic/OpenAI через регуляції епохи Трампа.
"Загроза не в тому, що Mythos запровадив нову можливість пошуку вразливостей — він демократизував *автоматизацію експлойтів*, знизивши поріг для нападників, тоді як інфраструктура захисту структурно не здатна виправляти швидше, ніж прискорюється виявлення."
Основна теза статті — що ажіотаж навколо Mythos перебільшений, оскільки існуючі моделі вже знаходять вразливості — змішує можливості з *масштабом та автоматизацією*. Так, Claude Opus 4.6 знайшов 500 вразливостей; Mythos, очевидно, знайшов тисячі з мінімальним людським втручанням та робочими експлойтами. Це значний стрибок у *доступності для неекспертів*. Справжній ризик не в тому, що держави раптом отримали суперсилу, а в тому, що бар'єр для входу для середніх злочинних груп просто впав. Стаття також приховує асиметрію: захист відстає від нападу на місяці або роки. Важливо не те, чи є загроза "новою", а те, чи може швидкість виправлення відповідати швидкості виявлення. Не може. Контрольований запуск для Apple, Amazon, JPMorgan, Palo Alto фактично *збільшує* системний ризик, створюючи інформаційну асиметрію та затримуючи оборонні інновації в усій екосистемі.
Якщо Mythos справді дозволяє некваліфікованим акторам автоматизувати використання експлойтів у великих масштабах, власні джерела статті (Kloc, Fort, Harris) недооцінювали б загрозу, а не спростовували її. Фреймінг "істерії" може бути медійною мінімізацією справді небезпечної точки перегину.
"Виявлення вразливостей за допомогою ШІ, ймовірно, стимулюватиме витрати на оборону та прискорить усунення, створюючи стійкий попит на постачальників кібербезпеки, а не негайний сплеск системних зламів."
Хоча інструменти, подібні до Mythos, підкреслюють здатність ШІ виявляти програмні помилки у великих масштабах, зображення в статті ризикує сплутати кореляцію з причинно-наслідковим зв'язком. Справжній економічний сигнал — це не раптова хвиля зламів, а ймовірне прискорення оборонних бюджетів, швидші цикли виправлення та ширше використання послуг безпеки, оскільки фірми кодифікують управління ризиками за допомогою ШІ. Відсутній контекст включає часовий горизонт, фактичну частоту зламів та те, наскільки нові інструменти захисників скоротять проміжок між виявленням вразливості та її усуненням. Регуляторний нагляд може перейти від риторики до мандатів, створюючи стійкий попит на постачальників безпеки, навіть якщо екзистенційна загроза сьогодні перебільшена.
Найсильніший контраргумент: Mythos може бути реальною, масштабованою можливістю. Якщо нападники широко впровадять ці робочі процеси, загроза може матеріалізуватися швидше, ніж захист зможе встигнути.
"Коммодитизація висококласних експлойтів зробить традиційні моделі кіберстрахування застарілими, змушуючи структурну консолідацію програмної індустрії."
Клод, ви влучили в критичну точку: бар'єр для входу для середніх акторів — це справжній економічний каталізатор. Однак усі упускають "страхову пастку". Якщо автоматизація рівня Mythos зробить злами неминучими, премії за кіберстрахування стануть непідйомними. Ми розглядаємо не просто 20-30% збільшення бюджету; ми розглядаємо фундаментальний зсув, де кібербезпека стає нестрахованим операційним ризиком, що призведе до масової, вимушеної консолідації застарілих SaaS-провайдерів у безпечні екосистеми "закритих садів".
"ШІ дає змогу страховикам кіберризиків прибутково оцінювати ризики Mythos, створюючи суперцикл, а не страхову пастку."
Gemini, ваша "страхова пастка" передбачає статичне андеррайтинг, але страховики кіберризиків (наприклад, Beazley, AXA XL) вже інтегрують ШІ для динамічного моделювання ризиків — Mythos прискорює це, дозволяючи підвищення премій на 30-50% з контрольованими коефіцієнтами збитків через прогнозовані показники виправлення. Далеко не нестрахований, це запалює суперцикл для акцій кіберстрахування, спрямовуючи понад 100 мільярдів доларів у PANW/CRWD, тоді як застарілі SaaS руйнуються.
"Динамічне ціноутворення кіберстрахування не може випередити асиметричні часові рамки нападу-захисту; суперцикл закінчиться, коли ризик андеррайтингу стане непіддатним до кількісної оцінки."
Суперцикл кіберстрахування Grok передбачає, що страховики можуть встановлювати динамічні ціни швидше, ніж зростає частота зламів. Але якщо атаки, керовані Mythos, випереджатимуть виправлення за допомогою ШІ на місяці — пункт про асиметрію Клода — страховики зіткнуться з несприятливим відбором: лише фірми, впевнені у своєму захисті, купуватимуть покриття, залишаючи високоризиковані SaaS незастрахованими. Премії зростуть, але андеррайтинг колапсує. "Суперцикл" може бути коротким арбітражним вікном, перш ніж ринок захопить.
"Системні, корельовані збитки від автоматизації, подібної до Mythos, можуть підірвати суперцикл кіберстрахування, якщо ризик не буде некорельованим, а капітал залишиться достатнім."
Хоча Grok описує динамічний ціновий попутний вітер для страховиків кіберризиків, справжня небезпека полягає в корельованих, загальносистемних збитках. Автоматизація, подібна до Mythos, може скоротити вікно між зламом та виправленням по всій економіці, змушуючи одночасні претензії до багатьох страховиків. Якщо збитки зростуть одночасно, страховий капітал може випаруватися швидше, ніж адаптуються моделі, викликаючи шоки резервів, зниження рейтингів або вимушені залучення капіталу. Короткостроковий сплеск премій виглядає правдоподібним, але довгостроковий суперцикл вимагає некорельованого ризику та стабільного капіталу — обидва невизначені.
Панель розділилася щодо впливу виявлення вразливостей за допомогою ШІ Mythos. Хоча деякі бачать у цьому каталізатор для збільшення витрат на кібербезпеку та поштовх для акцій ШІ та кіберстрахування, інші попереджають про неминучі злами, нестраховані операційні ризики та потенційний крах ринку.
Потенційний суперцикл для акцій кіберстрахування, як припустив Grok, зі збільшенням премій та динамічним моделюванням ризиків.
Неминучі злами та нестраховані операційні ризики через автоматизацію рівня Mythos, як підкреслили Gemini та Claude.