Zavalishev
Исследования ИИ

Claude Mythos: как AI-кибероружие Anthropic меняет правила игры для банков

Правительство США собрало глав крупнейших банков из-за AI-модели, которая находит тысячи zero-day уязвимостей. Разбираемся, что Claude Mythos означает для финансовой инфраструктуры и почему старые системы банков — главная мишень.

25 мая 2026 г.
6 мин чтения
безопасностьИИ в финансахAnthropicClaudeрегулируемые отраслибезопасность агентов

В мае 2026 года глава ФРС Джером Пауэлл и министр финансов Скотт Бессент собрали CEO крупнейших американских банков на экстренное совещание. Повод — не крах рынка и не санкции. Повод — языковая модель.

Anthropic выпустила Claude Mythos Preview, и эта модель за несколько недель нашла больше десяти тысяч критических уязвимостей нулевого дня в каждой крупной операционной системе и каждом основном браузере. Среди находок — 27-летний баг в OpenBSD и 17-летняя уязвимость удалённого выполнения кода во FreeBSD.

Правительство США отреагировало молниеносно. МВФ выпустил предупреждение о финансовой стабильности. И это не паника — это признание новой реальности.

Что такое Claude Mythos и почему это не просто ещё одна модель

Claude Mythos Preview — это не специализированный инструмент для пентеста. Это модель общего назначения, которая оказалась поразительно способной в задачах компьютерной безопасности. Она превзошла всех, кроме самых опытных специалистов, в нахождении и эксплуатации программных уязвимостей.

Ключевая разница с предыдущими подходами: скорость и масштаб. Человеческий исследователь безопасности может найти одну критическую уязвимость за месяцы работы. Mythos находит тысячи за недели. Это качественный сдвиг — не улучшение на проценты, а изменение порядка.

Anthropic не стала выкладывать модель в открытый доступ. Вместо этого компания создала Project Glasswing — закрытый консорциум с участием Amazon, Apple, Google, Cisco, CrowdStrike, JPMorgan Chase, Microsoft и NVIDIA. Доступ к Mythos Preview стоит $25 за миллион входных токенов и $125 за миллион выходных. Цена высокая, но для участников консорциума это инвестиция в выживание.

Почему банки — главная мишень

Финансовый сектор — идеальная цель для AI-кибератак по трём причинам.

Унаследованные системы

Банковская инфраструктура — слоёный пирог из технологий 1970-х, 1990-х и 2010-х годов. COBOL-системы обрабатывают триллионы долларов ежедневно. SWIFT работает на архитектуре, заложенной десятилетия назад. Каждый слой — потенциальный вектор атаки, и чем старше код, тем вероятнее в нём спящие уязвимости.

Mythos нашла баг в wolfSSL — криптографической библиотеке, которую используют миллиарды устройств. Эта уязвимость позволяла подделывать сертификаты для фальшивых сайтов банков. Сколько подобных багов прячется в проприетарных банковских системах, которые никто не проверял десятилетиями?

Высокая цена взлома

Финансовые данные — самый монетизируемый тип информации. Компрометация одного крупного банка может вызвать каскадный эффект на весь финансовый сектор. ФРС и Минфин собрали банкиров не из абстрактной озабоченности — они понимают, что атака на финансовую инфраструктуру может стать системным событием.

Регуляторная сложность

Банки работают в десятках юрисдикций с разными требованиями. Патчить уязвимость в продакшн-системе, которая обрабатывает платежи 24/7, — задача на недели согласований. Атакующий AI не ждёт согласований.

Гонка вооружений: атака vs защита

Главный вопрос не в самом Mythos — Anthropic ведёт себя ответственно, раскрывая уязвимости через координированное раскрытие. Проблема в том, что продемонстрированная способность будет воспроизведена.

Эксперты по кибербезопасности уже отмечают: уязвимости, найденные Mythos, можно воспроизвести через умную оркестрацию публичных моделей. Это значит, что порог входа для массового поиска zero-day снижается.

Возникает асимметрия. Защищающаяся сторона должна закрыть все уязвимости. Атакующей достаточно найти одну. AI ускоряет обе стороны, но ускоряет неравномерно.

Что это значит на практике

Для атаки: Стоимость обнаружения zero-day уязвимостей падает на порядки. То, что раньше требовало элитной команды и месяцев работы, становится доступным любому, у кого есть доступ к достаточно мощной модели и вычислительные ресурсы.

Для защиты: Банки получают инструмент для аудита собственного кода с невиданной ранее скоростью. Но только если они успевают внедрить эти инструменты раньше, чем атакующие начнут использовать аналогичные возможности.

Для регуляторов: Существующие стандарты (PCI DSS, SOX, DORA) писались для мира, где поиск уязвимостей — ручной и дорогой процесс. Они не учитывают реальность, в которой AI находит тысячи критических багов за недели.

Новые стандарты регуляции: что неизбежно

МВФ уже обозначил AI-кибератаки как угрозу финансовой стабильности. Это означает, что регуляторные изменения — вопрос месяцев, не лет.

Обязательный AI-аудит кода: Банки будут обязаны проводить автоматизированный поиск уязвимостей с использованием AI-инструментов на регулярной основе. Ручной аудит останется, но перестанет считаться достаточным.

Требования к скорости патчинга: Если AI может найти уязвимость за часы, окна для патчинга должны сокращаться с недель до дней. Это потребует от банков радикально пересмотреть процессы развёртывания.

Стандарты для AI в кибербезопасности: Регуляторы будут определять, какие AI-модели допустимы для использования в критической инфраструктуре, кто несёт ответственность за ложные срабатывания, и как управлять знаниями об уязвимостях.

Международная координация: Уязвимости не знают границ. Попытки создать национальные стандарты без международной координации обречены на провал.

Что делать финтех-компаниям прямо сейчас

Ждать регуляторов — проигрышная стратегия. Практические шаги:

  1. Инвентаризация технологического стека. Знаете ли вы все библиотеки и зависимости в вашем коде? Если нет — это первый приоритет. Mythos нашла баг в wolfSSL, о существовании которой в своём стеке многие компании даже не подозревали.
  2. Участие в программах координированного раскрытия. Project Glasswing — закрытый клуб, но информация об уязвимостях распространяется через CVE и координированное раскрытие. Подпишитесь на рассылки, внедрите процесс быстрого реагирования.
  3. Пересмотр архитектуры. Монолитные системы с глубокой интеграцией — худший сценарий для эры AI-кибербезопасности. Микросервисная архитектура с минимальными привилегиями ограничивает радиус поражения.
  4. Инвестиции в AI-защиту. Если атакующие будут использовать AI, защищающиеся обязаны делать то же самое. Автоматизированный мониторинг, AI-аудит кода, детекция аномалий — это уже не «хорошо бы иметь», а базовое требование.

Ключевой вывод

Claude Mythos — не угроза сама по себе. Это зеркало, в которое финансовая индустрия наконец посмотрела и увидела масштаб проблем, накопившихся за десятилетия.

Десять тысяч критических уязвимостей существовали задолго до Mythos. Просто никто не мог найти их все разом. Теперь может — и Anthropic, и, со временем, все остальные.

Банки, которые отнесутся к этому как к очередной волне хайпа, рискуют оказаться в позиции тех компаний, которые в 2017 году проигнорировали предупреждения о WannaCry. Те, кто начнёт перестраивать свою безопасность сейчас, получат преимущество, которое невозможно будет купить, когда регуляторы наконец проснутся.

AI-кибербезопасность — уже не будущее. Это настоящее. И для финансовой индустрии ставки выше, чем для кого бы то ни было.

Автор: Алик Завалишев

Эксперт по ИИ и автоматизации процессов

Больше статей