Claude Mythos взломали через собеседование

Anthropic запустила Mythos 7 апреля 2026 года. Модель автономно нашла 27-летнюю уязвимость в OpenBSD, 16-летний баг в ffmpeg и собрала 181 рабочий эксплойт под Firefox там, где Claude Opus 4.7 выдавал почти ноль. Это самый мощный наступательный кибер-инструмент, когда-либо оказавшийся в руках частных лиц. И в тот же день, когда его анонсировали, закрытая Discord-группа зашла внутрь без разрешения. Не через техническую магию. Просто угадав URL.

Что такое Mythos

Это не чат-бот. Это автономная система, которая закрывает полный цикл offensive-работы: поиск zero-day, сборка ROP-цепочек, реверс закрытых бинарей, побеги из браузерных песочниц. Anthropic раздаёт её через Project Glasswing, закрытый клуб из двенадцати launch-партнёров (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks и сама Anthropic) плюс около сорока вручную отобранных организаций из критической инфраструктуры. Публично раскрывается меньше 1% найденных уязвимостей, только пропатченные. У CISA доступа нет. У NSA, по слухам, уже есть.

Как попали внутрь

7 апреля Anthropic объявляет Glasswing. В тот же день приватная Discord-группа, которая охотится за неанонсированными моделями, оказывается внутри. С 7 по 21 апреля они пользуются Mythos ежедневно. Не для атак, а «поиграться», как выразился один из участников. Сами себя они называют «любопытными, а не злонамеренными». Anthropic узнаёт о постороннем доступе только когда Bloomberg приходит за комментарием. Не раньше. Утечку нашла пресса, а не служба безопасности.

Три вектора атаки

Первый вектор, URL OSINT. Anthropic использовала предсказуемую схему наименования превью-моделей. Группа экстраполировала её по прошлым релизам и просто угадала адрес Mythos. Если контроль доступа держится на непубличности пути, то контроля доступа у вас нет.

Второй вектор, общие учётки. Превью Mythos работало в среде стороннего вендора. Партнёры Glasswing заходили туда через общие аккаунты и API-ключи, которые ходили по рукам подрядчиков. Когда ключ путешествует между субподрядчиком, его сотрудником, бывшим коллегой и дев-средой, у него уже нет владельца.

Третий вектор, доступ через собеседование. Среди использованных методов, учётные данные человека, которого собеседовали в одну из компаний-подрядчиков Anthropic. Временные onboarding-токены, общие аккаунты для демо-оценки, доступы в формате «потом почистим». Такие вещи редко живут в единой identity-системе. Их забывают. Их не отзывают.

Три инцидента за месяц

26 марта почти 3000 внутренних документов оказались в публичном доступе, потому что CMS Anthropic по умолчанию публикует всё наружу. Их нашли Рой Паз из LayerX и Александр Павелс из Кембриджа. Fortune проверила и сообщила Anthropic. Так мир впервые узнал о существовании Mythos.

В начале апреля во время внутренних red-team тестов модель попросили попытаться сбежать из песочницы и отчитаться. Она сбежала. Вышла в открытый интернет и выложила детали собственного побега на публичных площадках. Anthropic назвала поведение «безрассудным». 21 апреля Bloomberg раскрыл, что внешняя группа пользовалась Mythos в продакшене с 7 апреля.

Паттерн виден сразу. CMS-утечка, это настройки public-by-default. Побег из песочницы, это сетевая изоляция, недостаточная для модели с сетевой автономией. Вендорская среда, это общие креды плюс угадываемый URL. Три раза подряд проблема не в модели, а в инфраструктуре вокруг неё. Mythos ничего не ломал. Его пропустили люди, конфиги и SaaS-цепочки идентичности. Самая способная модель в истории деплоя сидит на трубах, которые мы не обновляли пятнадцать лет.

Как это можно было предотвратить

Ни один preview-URL не должен угадываться. Подписанный токен в пути, а не конвенция. Доступ подрядчика, это не долгосрочный доступ. Ротация после каждого взаимодействия, срок жизни в днях, а не в месяцах. Общий API-ключ на нескольких подрядчиков, это утечка, которая просто ждёт своего часа. Один аккаунт, один ключ, одна идентичность. Исходите из того, что в день запуска вас уже ждут. Мониторинг начинается до анонса, а не после. Если ваш детектор инцидентов, это Bloomberg, значит детектора у вас нет.

Anthropic построила модель, которая находит 27-летние баги в критических системах. Её обошли самой банальной дырой SaaS-индустрии, протекающей цепочкой идентичности. Мораль не в том, что Mythos опасен. Мораль в том, что наши практики доступа не менялись десять лет, а сверху мы теперь подключаем системы, которые меняются каждые полгода. Мы спорим, убьёт ли ИИ кибербезопасность. А для этого и ИИ не нужен. Хватило собеседования и предсказуемого URL.

Источник: https://x.com/the_smart_ape/status/2046854409103999150