Project Glasswing: An initial update
Anthropic подводит первые итоги Project Glasswing — совместной с ~50 партнёрами инициативы по защите критически важного ПО с помощью модели Claude Mythos Preview. За месяц партнёры нашли более 10 000 уязвимостей высокой и критической степени серьёзности; Cloudflare обнаружила 2000 багов, Mozilla — 271 уязвимость в Firefox 150 (вдесятеро больше, чем с Claude Opus 4.6). Сканирование 1000+ open-source проектов выявило 6202 потенциально серьёзные уязвимости, из которых 1587 подтверждены как настоящие, а 75 уже пропатчены (включая CVE-2026-5194 в wolfSSL). Главное узкое место сместилось с поиска на проверку и патчинг: разработчикам и сетевым защитникам рекомендуют сокращать циклы патчей и внедрять базовые меры NIST/NCSC. Anthropic выпустила Claude Security в бете, запустила Cyber Verification Program и открывает доступ к инструментам Mythos для квалифицированных клиентов, откладывая публичный релиз Mythos-class моделей до появления более надёжных защитных механизмов.
Project Glasswing: An initial update
Project Glasswing: первый отчёт
Last month, we launched Project Glasswing, our collaborative effort to secure the world’s most critical software before increasingly capable AI models can be turned against it.
В прошлом месяце мы запустили Project Glasswing — совместную инициативу по защите самого критически важного ПО в мире до того, как всё более способные AI-модели могут быть обращены против него.
Since then, we and our approximately 50 partners have used Claude Mythos Preview to find more than ten thousand high- or critical-severity vulnerabilities across the most systemically important software in the world. Progress on software security used to be limited by how quickly we could find new vulnerabilities. Now it’s limited by how quickly we can verify, disclose, and patch the large numbers of vulnerabilities found by AI.
С тех пор мы и около 50 наших партнёров использовали Claude Mythos Preview, чтобы найти более десяти тысяч уязвимостей высокой или критической степени серьёзности в самом системно важном ПО мира. Раньше прогресс в безопасности ПО ограничивался тем, как быстро мы могли находить новые уязвимости. Теперь он ограничен тем, как быстро мы можем проверить, раскрыть и закрыть большое количество уязвимостей, найденных AI.
In this post, we discuss what we’ve learned about this critical challenge for cybersecurity in the first weeks of Project Glasswing. We focus on the early public evidence of Mythos Preview’s performance, on the initial results of our effort to scan thousands of open-source software projects, and on what this progress means for cyberdefenders today. We also cover what to expect next from Project Glasswing, and how we’re thinking about releasing Mythos-class models in the future.
В этом посте мы обсуждаем, что узнали об этом ключевом вызове для кибербезопасности в первые недели Project Glasswing. Мы сосредотачиваемся на ранних публичных свидетельствах работы Mythos Preview, на первых результатах нашего сканирования тысяч open-source проектов и на том, что этот прогресс означает для киберзащитников сегодня. Мы также рассказываем, чего ждать дальше от Project Glasswing и как мы думаем о выпуске моделей класса Mythos в будущем.
Our early results
Наши первые результаты
Our approach to discussing Mythos Preview’s findings
Наш подход к обсуждению находок Mythos Preview
The software industry’s longstanding convention is to disclose new vulnerabilities 90 days after they’re discovered (or, if a patch is created before the 90 days is up, around 45 days after the patch becomes available). This allows time for end users to update their software before a vulnerability can be exploited by attackers. Our own Coordinated Vulnerability Disclosure policy takes this approach.
В индустрии ПО давно принято раскрывать новые уязвимости спустя 90 дней после их обнаружения (или, если патч создан раньше, примерно через 45 дней после его выхода). Это даёт пользователям время обновить ПО до того, как уязвимостью смогут воспользоваться злоумышленники. Наша собственная политика скоординированного раскрытия уязвимостей следует тому же подходу.
However, this means that disclosed vulnerabilities are a lagging indicator of the accelerating frontier of AI models’ cyber capabilities: we’re not yet at the point where we can fully detail our partners’ findings with Mythos Preview without putting end users at risk. Instead, we provide illustrative examples of the model’s performance, along with aggregate statistics on our progress to date. Once patches for the vulnerabilities that Mythos Preview has discovered are widely deployed, we’ll provide much more detail about what we’ve learned.
Однако это означает, что раскрытые уязвимости — это запаздывающий индикатор ускоряющегося фронтира киберспособностей AI-моделей: мы пока не на том этапе, когда можем полностью описать находки наших партнёров с Mythos Preview, не подвергая пользователей риску. Вместо этого мы приводим иллюстративные примеры работы модели и агрегированную статистику нашего прогресса. Когда патчи для уязвимостей, обнаруженных Mythos Preview, будут широко развернуты, мы предоставим намного больше деталей о том, что узнали.
Evidence from our partners and external testers
Свидетельства от партнёров и внешних тестировщиков
Project Glasswing’s initial partners build and maintain software that is fundamental to the functioning of the internet and other essential infrastructure. Fixing flaws in their code reduces risk for the many other organizations that rely on it, and therefore reduces risk for billions of end users.
Первоначальные партнёры Project Glasswing создают и поддерживают ПО, фундаментальное для работы интернета и другой важнейшей инфраструктуры. Исправление недостатков в их коде снижает риск для множества других организаций, которые на него полагаются, и тем самым снижает риск для миллиардов конечных пользователей.
After one month, most partners have each found hundreds of critical- or high-severity vulnerabilities in their software. Collectively, they’ve found more than ten thousand. Several have told us that their rate of bug-finding has increased by more than a factor of ten. For instance, Cloudflare has found 2,000 bugs (400 of which are high- or critical-severity) across their critical-path systems, with a false positive rate that Cloudflare’s team considers better than human testers.
За месяц большинство партнёров нашли по сотням уязвимостей критической или высокой степени серьёзности в своём ПО. В совокупности они нашли более десяти тысяч. Некоторые сообщили нам, что скорость поиска багов выросла более чем в десять раз. Например, Cloudflare нашла 2000 багов (из которых 400 — высокой или критической серьёзности) в своих системах критического пути, причём с показателем ложных срабатываний, который команда Cloudflare считает лучше, чем у живых тестировщиков.
This tallies with external testers’ experience of Mythos Preview’s performance, and with recent additional evaluations of the model:
Это согласуется с опытом внешних тестировщиков работы Mythos Preview и с недавними дополнительными оценками модели:
AI Security Institute Великобритании сообщает, что Mythos Preview — первая модель, которая полностью прошла обе их киберполигона (симуляции многошаговых кибератак) от начала до конца;Mozilla нашла и исправила 271 уязвимость в Firefox 150 в ходе тестирования Mythos Preview — более чем в десять раз больше, чем нашла в Firefox 148 с Claude Opus 4.6;XBOW, независимая платформа безопасности, сообщает, что Mythos Preview — это «значительный шаг вперёд по сравнению со всеми существующими моделями» на их бенчмарке веб-эксплойтов, и обеспечивает «абсолютно беспрецедентную точность» в пересчёте на токен;ExploitBench и ExploitGym — два недавно выпущенных академических бенчмарка для измерения способностей моделей к разработке эксплойтов — показывают Mythos Preview как сильнейшего исполнителя. Подробнее о том, что эти бенчмарки говорят о модели, мы обсуждаем в блоге Frontier Red Team.
More generally, we’re now seeing that patched software is being rolled out much more quickly. The latest Palo Alto Networks release included over five times as many patches as usual. Microsoft has reported that the number of new patches they’ll release will “continue trending larger for some time.” And Oracle is finding and fixing vulnerabilities across its products and cloud multiple times faster than before.
В целом мы видим, что патчи к ПО теперь выкатываются гораздо быстрее. Последний релиз Palo Alto Networks включал более чем впятеро больше патчей, чем обычно. Microsoft сообщила, что количество новых патчей, которые они выпускают, «будет продолжать расти ещё какое-то время». А Oracle находит и исправляет уязвимости в своих продуктах и облаке в несколько раз быстрее, чем раньше.
Mythos Preview has also proved useful for other kinds of security work. For example, at one of our Glasswing partner banks, Mythos Preview helped to detect and prevent a fraudulent $1.5 million wire transfer after a threat actor compromised a customer’s email account and made spoof phone calls.
Mythos Preview также оказалась полезной и для других видов работы по безопасности. Например, в одном из наших банков-партнёров по Glasswing Mythos Preview помогла выявить и предотвратить мошеннический банковский перевод на $1,5 млн после того, как злоумышленник скомпрометировал email клиента и сделал поддельные телефонные звонки.
Open-source software
Open-source ПО
For the last few months, Anthropic has used Mythos Preview to scan more than 1,000 open-source projects, which collectively underpin much of the internet—and much of our own infrastructure.
В последние несколько месяцев Anthropic использовала Mythos Preview, чтобы просканировать более 1000 open-source проектов, которые в совокупности лежат в основе значительной части интернета — и нашей собственной инфраструктуры.
So far, Mythos Preview has found what it estimates are 6,202 high- or critical-severity vulnerabilities in these projects (out of 23,019 in total, including those it estimates as medium- or low-severity).
На данный момент Mythos Preview нашла в этих проектах, по её оценкам, 6202 уязвимости высокой или критической степени серьёзности (из 23 019 в общей сложности, включая те, что она оценивает как средние или низкие).
1,752 of those high- or critical-rated vulnerabilities have now been carefully assessed by one of six independent security research firms, or in a small number of cases by ourselves. Of these, 90.6% (1,587) have proved to be valid true positives, and 62.4% (1,094) were confirmed as either high- or critical-severity. That means that even if Mythos Preview finds no further vulnerabilities, at our current post-triage true-positive rates, it’s on track to have surfaced nearly 3,900 high- or critical-severity vulnerabilities in open-source code—in addition to those it has found for Project Glasswing’s partners. To be clear, we intend to continue scanning open-source code for some time, so we expect this number to rise.
1752 из этих уязвимостей с оценкой «высокая» или «критическая» уже тщательно изучены одной из шести независимых компаний, специализирующихся на исследованиях безопасности, или в небольшом числе случаев нами самими. Из них 90,6% (1587) оказались истинно положительными, а 62,4% (1094) подтверждены как уязвимости высокой или критической серьёзности. Это значит, что даже если Mythos Preview больше не найдёт ни одной уязвимости, при текущих показателях истинно положительных после триажа модель на пути к тому, чтобы выявить почти 3900 уязвимостей высокой или критической серьёзности в open-source коде — в дополнение к тем, что она нашла для партнёров Project Glasswing. Уточним: мы намерены продолжать сканирование open-source кода ещё какое-то время, поэтому ожидаем, что это число вырастет.
One example of an open-source vulnerability that Mythos Preview detected was in wolfSSL, an open-source cryptography library that’s known for its security and is used by billions of devices worldwide. Mythos Preview constructed an exploit that would let an attacker forge certificates that would (for instance) allow them to host a fake website for a bank or email provider. The website would look perfectly legitimate to an end user, despite being controlled by the attacker. We’ll release our full technical analysis of this now-patched vulnerability (assigned CVE-2026-5194) in the coming weeks.
Один из примеров open-source уязвимости, обнаруженной Mythos Preview, был в wolfSSL — open-source криптографической библиотеке, известной своей безопасностью и используемой миллиардами устройств по всему миру. Mythos Preview сконструировала эксплойт, который позволил бы злоумышленнику подделать сертификаты так, чтобы он мог (например) разместить фейковый сайт банка или почтового сервиса. Сайт выглядел бы для пользователя совершенно легитимно, несмотря на то что контролировался бы злоумышленником. Мы выпустим полный технический разбор этой уже закрытой уязвимости (которой присвоен CVE-2026-5194) в ближайшие недели.
As we noted above, the bottleneck in fixing bugs like these is the human capacity to triage, report, and design and deploy patches for them. Finding them in the first place has become vastly more straightforward with Mythos Preview. We’ve created a dashboard of the open-source vulnerabilities we’ve scanned, below, which shows the different steps in our disclosure process and will track our progress over time. This shows vulnerabilities of all severity levels, rather than only the subset initially assessed as high- or critical-severity by Mythos Preview. Note the steep drop-off at each phase, reflecting the amount of human effort required to verify and fix each of the vulnerabilities.
Как мы отметили выше, узкое место в исправлении подобных багов — это человеческая пропускная способность для триажа, отчётности, разработки и развёртывания патчей. Само же их обнаружение с Mythos Preview стало радикально проще. Мы создали дашборд по open-source уязвимостям, которые мы просканировали (он ниже): на нём показаны разные шаги нашего процесса раскрытия и будет отслеживаться наш прогресс со временем. Дашборд показывает уязвимости всех уровней серьёзности, а не только те, что изначально оценены Mythos Preview как высокие или критические. Обратите внимание на резкое падение на каждой стадии — оно отражает объём ручной работы, необходимой для проверки и исправления каждой уязвимости.
Our process for triaging vulnerabilities is intensive. First, we or one of the external security firms we work with reproduce the issue that Mythos has found and re-assess its severity. Once we’ve confirmed that a vulnerability is real, we check for whether there are already fixes in place, and write a detailed report to the software’s maintainers. We take considerable care here: on top of the regular challenges of maintaining open-source software, maintainers have been facing a deluge of low-quality, AI-generated bug reports. Indeed, several maintainers have told us they’re currently severely capacity constrained, and some have even asked us to slow down our rate of our disclosures because they need more time to design patches. (On average, a high- or critical-severity bug found by Mythos Preview takes two weeks to patch.)
Наш процесс триажа уязвимостей очень трудоёмок. Сначала мы или одна из внешних компаний по безопасности, с которыми мы работаем, воспроизводим найденную Mythos проблему и заново оцениваем её серьёзность. Убедившись, что уязвимость реальна, мы проверяем, не существует ли уже исправлений, и пишем подробный отчёт мейнтейнерам ПО. Здесь мы действуем с большой осторожностью: помимо обычных трудностей с поддержкой open-source ПО, мейнтейнеры сегодня сталкиваются с потоком низкокачественных, сгенерированных AI отчётов о багах. Несколько мейнтейнеров рассказали нам, что сейчас сильно перегружены, а некоторые даже просили нас замедлить темпы раскрытия, потому что им нужно больше времени на разработку патчей. (В среднем баг высокой или критической серьёзности, найденный Mythos Preview, патчится за две недели.)
On maintainers’ request, we sometimes disclose bugs directly, without further assessment. We’ve now reported 1,129 such unvetted bugs, of which Mythos Preview estimated that 175 were high- or critical-severity.
По просьбе мейнтейнеров мы иногда раскрываем баги напрямую, без дополнительной проверки. К настоящему моменту мы сообщили 1129 таких непроверенных багов, из которых Mythos Preview оценила 175 как высокие или критические по серьёзности.
We estimate that we’ve disclosed 530 high- or critical-severity bugs to maintainers so far. This is based on Claude’s assessment of severity in the case of direct disclosures, and maintainers’ or our security partners’ assessment where available. There are a further 827 confirmed vulnerabilities (estimated as high- or critical-severity in the same manner) that we’re aiming to disclose as quickly as possible.
По нашим оценкам, мы уже раскрыли мейнтейнерам 530 багов высокой или критической серьёзности. Эта оценка основана на суждении Claude о серьёзности в случае прямых раскрытий и на оценке мейнтейнеров или наших партнёров по безопасности, где она доступна. Есть ещё 827 подтверждённых уязвимостей (оценённых аналогичным образом как высокие или критические), которые мы стремимся раскрыть как можно быстрее.
75 of the 530 high- or critical-severity bugs we’ve reported have now been patched, and 65 of those have been given public advisories. The number of patches is still relatively low for three reasons. First, we’re still early in the 90-day window that’s set out in our Coordinated Vulnerability Disclosure policy: we expect many more patches to land soon. Second, we are likely to be undercounting patches because some vulnerabilities are patched without a public advisory: in those cases, we’re reliant on scanning for the patches ourselves using Claude. Third, the low volume of patches reflects a genuine problem: even at our relatively slow pace of disclosures, Mythos Preview is adding to an already-overloaded security ecosystem.
75 из 530 высоко- или критически-серьёзных багов, о которых мы сообщили, уже закрыты патчами, и для 65 из них выпущены публичные advisory. Число патчей пока относительно невелико по трём причинам. Во-первых, мы ещё в начале 90-дневного окна, прописанного в нашей политике скоординированного раскрытия уязвимостей: мы ожидаем, что многие патчи появятся скоро. Во-вторых, мы, вероятно, недосчитываем патчи: некоторые уязвимости закрываются без публичного advisory, и в таких случаях нам приходится самим сканировать на наличие патчей с помощью Claude. В-третьих, низкое количество патчей отражает реальную проблему: даже при нашем относительно скромном темпе раскрытий Mythos Preview добавляет нагрузки и без того перегруженной экосистеме безопасности.
The relative ease of finding vulnerabilities compared with the difficulty of fixing them amounts to a major challenge for cybersecurity. Confronting this challenge successfully will make our software far safer than before. Below we discuss some ways that cyber defenders can adapt.
Относительная лёгкость поиска уязвимостей в сравнении со сложностью их исправления — это серьёзный вызов для кибербезопасности. Успешное противостояние этому вызову сделает наше ПО намного безопаснее, чем сейчас. Ниже мы обсуждаем некоторые способы, которыми киберзащитники могут адаптироваться.
Adapting to a new phase of cybersecurity
Адаптация к новому этапу кибербезопасности
Models with similar cybersecurity skills to Mythos Preview will soon be more broadly available. There is a clear need for a larger effort across the software industry to manage the volume of findings that these models will generate.
Модели с похожими на Mythos Preview киберспособностями скоро станут шире доступны. Очевидна необходимость более масштабных усилий по всей индустрии ПО, чтобы справляться с объёмом находок, которые такие модели будут генерировать.
Currently, there’s often a long lag between the discovery of a vulnerability, the creation of a patch for it, and the time when the patch is widely deployed by end users. This leaves open a significant window for attackers to exploit critical software. Mythos-class models significantly shrink the time and cost required to find and exploit vulnerabilities, magnifying the risk associated with these time lags. Ultimately, Mythos-class models will enable developers to build far more secure software by catching bugs before they are deployed. But this interim period—while vulnerabilities are being rapidly discovered and slowly patched—presents new risks.
Сегодня между обнаружением уязвимости, созданием патча и его широким развёртыванием конечными пользователями часто проходит большой промежуток времени. Это оставляет значительное окно для атакующих, чтобы эксплуатировать критическое ПО. Модели класса Mythos значительно сокращают время и затраты, необходимые для поиска и эксплуатации уязвимостей, усиливая риски, связанные с этими задержками. В конечном счёте модели класса Mythos позволят разработчикам создавать намного более безопасное ПО, отлавливая баги ещё до его развёртывания. Но этот переходный период — пока уязвимости находятся быстро, а патчатся медленно — несёт новые риски.
Software developers and users should act now to reduce their exposure to these risks. The advice below is not new, and many researchers (including at Anthropic) are currently working on better and more durable solutions. In the meantime, it’s important to get the basics right:
Разработчикам ПО и пользователям следует действовать уже сейчас, чтобы снизить свою подверженность этим рискам. Приведённые ниже советы не новы, и многие исследователи (включая Anthropic) сейчас работают над более надёжными решениями. А пока важно правильно сделать базовые вещи:
Разработчикам ПО следует сокращать циклы патчинга и выпускать исправления безопасности как можно быстрее. В этом могут помочь продуманное применение публично доступных AI-моделей; мы создаём инструменты и делимся исследованиями для поддержки этого (подробнее ниже). Разработчикам стоит также помогать пользователям держать ПО в актуальном состоянии, делая установку обновлений максимально простой; и, по возможности, быть настойчивее с теми, кто продолжает использовать ПО с известными уязвимостями.Сетевым защитникам следует сокращать сроки тестирования и развёртывания патчей. Критические меры контроля, изложенные такими организациями, как National Institute of Standards and Technology и британский National Cyber Security Centre, сейчас особенно важны, поскольку они повышают безопасность независимо от того, успеет ли тот или иной патч. Среди них — упрочнение дефолтных конфигураций сетей, обязательная многофакторная аутентификация и ведение полных логов для детектирования и реагирования.
Tools for cyberdefense with publicly available AI models
Инструменты для киберзащиты с публично доступными AI-моделями
Many generally-available models can already find large numbers of software vulnerabilities, even if they can’t find the most sophisticated vulnerabilities or exploit them as effectively as Claude Mythos Preview. Project Glasswing has already spurred many other organizations to take action on their own codebases with these generally-available models; we’re working to make this much easier to do.
Многие общедоступные модели уже способны находить большое количество уязвимостей в ПО, пусть даже они не находят самые сложные уязвимости и не эксплуатируют их так же эффективно, как Claude Mythos Preview. Project Glasswing уже подтолкнул многие другие организации действовать в отношении своих кодовых баз с помощью таких общедоступных моделей; мы работаем над тем, чтобы это стало значительно проще.
To begin, we’ve released Claude Security in public beta for Claude Enterprise customers. It’s a tool that helps teams scan their codebases for vulnerabilities, and which can generate proposed fixes for them. In the three weeks since launch, Claude Opus 4.7 has been used to patch over 2,100 vulnerabilities. (This is faster than the open-source patching described above in large part because enterprises are fixing their own code, whereas open-source fixes usually require volunteer maintainers who work through coordinated disclosure.)
Для начала мы выпустили Claude Security в публичной бете для клиентов Claude Enterprise. Это инструмент, который помогает командам сканировать свои кодовые базы на уязвимости и может предлагать варианты исправлений. За три недели с момента запуска Claude Opus 4.7 был использован для патчинга более 2100 уязвимостей. (Это быстрее, чем патчинг в open-source, описанный выше, в значительной мере потому, что предприятия исправляют собственный код, тогда как open-source-исправления обычно требуют участия волонтёров-мейнтейнеров, работающих через скоординированное раскрытие.)
We’ve also begun our Cyber Verification Program, which allows security professionals using our models for legitimate cybersecurity purposes (such as vulnerability research, penetration testing, and red-teaming) to do so without certain safeguards designed to prevent cyber misuse.
Мы также запустили Cyber Verification Program, которая позволяет специалистам по безопасности, использующим наши модели в легитимных кибербезопасных целях (исследование уязвимостей, тесты на проникновение, red-team), делать это без некоторых ограничений, рассчитанных на предотвращение злоупотреблений в кибер-контексте.
Now, we’re making the tools that we and our partners have used with Mythos Preview available to qualifying customers’ security teams on request. Our aim is to make it much easier to get the best performance out of highly capable public models without extensive setup. This release includes:
Теперь мы делаем инструменты, которые мы и наши партнёры использовали с Mythos Preview, доступными по запросу командам безопасности квалифицированных клиентов. Наша цель — упростить получение максимальной отдачи от высоко способных публичных моделей без долгой настройки. В этот релиз входит:
skills (кастомные инструкции для повторяющейся работы), которые мы и наши партнёры построили и которыми поделились;harness, помогающий Claude картировать кодовую базу, поднимать сканирующих subagent-ов, проводить триаж их находок и писать отчёты;builder моделей угроз, который картирует кодовую базу, чтобы выявить потенциальные цели для атаки и соответственно расставить приоритеты в работе модели.
Cisco, one of our Project Glasswing partners, has also recently open-sourced its Foundry Security Spec to help other defenders build an evaluation system similar to the one they use themselves.
Cisco, один из наших партнёров по Project Glasswing, недавно также открыла исходный код своего Foundry Security Spec, чтобы помочь другим защитникам выстроить систему оценки, похожую на ту, которую они используют сами.
Supporting the ecosystem
Поддержка экосистемы
We’ve formed a partnership with the Open Source Security Foundation’s Alpha-Omega project, which will support the foundation’s efforts to assist maintainers in processing and triaging bug reports. We’re also continuing to publish research into how frontier model capabilities can best support cyberdefenders.
Мы заключили партнёрство с проектом Alpha-Omega от Open Source Security Foundation, которое будет поддерживать усилия фонда по помощи мейнтейнерам в обработке и триаже багрепортов. Мы также продолжаем публиковать исследования о том, как способности фронтирных моделей могут наилучшим образом поддерживать киберзащитников.
We’ve also supported the development of ExploitBench and ExploitGym, the two new benchmarks that allow researchers to track frontier AI models’ exploit development capabilities over time, as we discuss here. We’re supporting the development of other high-quality quantitative benchmarks through our External Researcher Access Program. Finally, Claude for Open Source supports maintainers and contributors, and we’re committing to scan any open-source package that we adopt ourselves in the future.
Мы также поддержали разработку ExploitBench и ExploitGym — двух новых бенчмарков, которые позволяют исследователям отслеживать способности фронтирных AI-моделей к разработке эксплойтов во времени; подробнее об этом мы рассказываем здесь. Мы поддерживаем разработку и других качественных количественных бенчмарков через нашу External Researcher Access Program. Наконец, Claude for Open Source поддерживает мейнтейнеров и контрибьюторов, и мы обязуемся сканировать любой open-source пакет, который мы сами начнём использовать в будущем.
What's next for Project Glasswing
Что дальше у Project Glasswing
The speed of AI progress means that models as capable as Mythos Preview will soon be developed by many different AI companies. At present, no company—including Anthropic—has developed safeguards strong enough to prevent such models from being misused and potentially causing severe harm. That is why we have yet to release Mythos-class models to the public. But it’s also why we began Project Glasswing: if a similarly capable model is released without such safeguards, it will soon become dramatically cheaper and easier for almost anyone in the world to exploit flawed software.
Темп прогресса AI означает, что модели, столь же способные, как Mythos Preview, скоро будут разработаны многими разными AI-компаниями. Сейчас ни одна компания — включая Anthropic — не разработала достаточно сильных мер защиты, чтобы предотвратить злоупотребление такими моделями и потенциально серьёзный вред. Именно поэтому мы пока не выпустили модели класса Mythos в публичный доступ. Но именно поэтому мы и начали Project Glasswing: если аналогично способная модель будет выпущена без таких защит, для почти любого человека в мире вскоре станет резко дешевле и проще эксплуатировать уязвимое ПО.
Glasswing helps the most systemically important cyber defenders gain an asymmetric advantage. However, there is an urgent need for as many organizations as possible to shore up their cyber defenses. We hope that our generally available models, and the new tools, resources, and research we’re providing to accompany them, will support those organizations to improve their cybersecurity posture.
Glasswing помогает самым системно важным киберзащитникам получить асимметричное преимущество. Однако существует неотложная необходимость в том, чтобы как можно больше организаций укрепляли свою киберзащиту. Мы надеемся, что наши общедоступные модели, а также новые инструменты, ресурсы и исследования, которые мы предоставляем вместе с ними, помогут этим организациям улучшить состояние своей кибербезопасности.
Next, we will work with critical partners—including US and allied governments—to expand Project Glasswing to additional partners. And in the near future, once we’ve developed the far stronger safeguards we need, we look forward to making Mythos-class models available through a general release.
Дальше мы будем работать с критически важными партнёрами — включая правительства США и союзников — чтобы расширить Project Glasswing на новых участников. А в ближайшем будущем, когда мы разработаем намного более сильные защитные механизмы, мы рассчитываем сделать модели класса Mythos доступными в рамках общего релиза.
On the far side of these risks, there’s an encouraging world available to us: one in which important code is hardened far better than it is today, and in which hacking is far less prevalent. There are many obstacles, but we’re nonetheless confident that Project Glasswing can help get us there.
По ту сторону этих рисков нас ждёт обнадёживающий мир: мир, в котором важный код защищён намного лучше, чем сегодня, а взломы случаются куда реже. Препятствий немало, но мы тем не менее уверены, что Project Glasswing может помочь нам туда прийти.
Related content
Связанные материалы
2028: Two scenarios for global AI leadership
2028: Два сценария мирового лидерства в AI
Our views on the AI competition between the US and China.
Наши взгляды на конкуренцию в области AI между США и Китаем.
Teaching Claude why
Учим Claude почему
New research on how we've reduced agentic misalignment.
Новое исследование о том, как мы снизили агентское misalignment-поведение.
Natural Language Autoencoders: Turning Claude’s thoughts into text
Natural Language Autoencoders: переводим мысли Claude в текст
AI models like Claude talk in words but think in numbers. In this study, we train Claude to translate its thoughts into human-readable text.
AI-модели вроде Claude говорят словами, но думают числами. В этом исследовании мы обучаем Claude переводить свои мысли в текст, понятный человеку.