Недавно все мы услышали громкое заявление Anthropic «наша модель Mythos очень опасна из-за своих хакерских способностей». Когда (пока) к модели нет массового доступа, человечеству сложно проверить, как все обстоит на самом деле, а хайп разгонял ряд событий:
в США и Великобритании прошли экстренные совещания в банковском секторе о том, как действовать в новых реалиях;
OpenAI представили свой «вариант для кибербезопасности» GPT‑5.4‑Cyber;
а сервис cal.com заявил, что из опенсорсного станет закрытым, потому что обеспечивать безопасность открытого кода теперь слишком сложно.
Но. Появились первые сторонние тексты с анализом способностей Mythos. Это позволяет получить хотя бы частичное, не по заявлениям Anthropic, понимание ситуации. Поэтому мы собрали их в один хабрапост, чтобы разобраться: что в Mythos миф, а что реальность, и насколько стоит обращать внимание на происходящие?
AISI
Пока что самый значимый текст — от британской государственной организации AI Security Institute. Там получили доступ к Mythos, так что не просто вещают с дивана, а делятся результатами собственной проверки его способностей. И выводы делают аккуратные, не впадая в крайности.
AISI пишут, что уже три года проверяют способности моделей в задачах информационной безопасности. И все это время видят, как способности постепенно и неуклонно растут. Теперь и Mythos продолжает этот тренд.
То есть, с одной стороны, в тексте подтверждают: произошел шаг вперед, такого уровня еще не было. Но с другой — говорят, что это ожидаемый шаг, а не какой-то неожиданный гигантский скачок.
Например, у AISI для проверки есть наборы «легких CTF-заданий». И там модель укладывается в общую картину, где и без нее все постепенно подбирается к результатам в 100%. Этот график приведен в начале нашего текста.
Впрочем, теперь-то актуальнее уже не «легкий» уровень: его можно считать почти пройденным, там и другие модели показывают схожие результаты. Интереснее, что у AISI есть и набор задач уровня «эксперт». И всего лишь год назад модели с такими вообще не справлялись.
А теперь Mythos осилил 73% из самого сложного набора, став первой моделью с таким результатом:
Но еще интереснее другое задание. Даже «экспертные» CTF-задачи проверяют только какое-то одно умение модели в отдельности. А в реальных кибератаках зачастую важна способность применять целый ряд разных «вещей», которые малозначимы по отдельности, но вместе могут привести к масштабному практическому результату.
Anthropic уже сами упоминали, что модель научилась «комбинировать уязвимости». Но теперь появилась сторонняя проверка: в AISI использовали собственный тест «The Last Ones», симулирующий «проведение атаки на корпоративную сеть».
По их словам, для полного успеха в нем необходимо осуществить 32 разных шага. И ранее ни одна модель не справлялась полностью со всеми, в тесте получалось достичь лишь частичного результата с частью шагов. А вот Mythos стала первой, у которой хотя бы в 3 попытках из 10 получилось пройти тест полностью.
При этом в AISI оговариваются, что проводить атаки в реальности может быть сложнее, потому что в тесте не используется часть возможных защитных систем.
И выводы в посте получаются такими:
Во-первых, уязвимыми перед Mythos окажутся в первую очередь небольшие и слабо защищенные энтерпрайзные системы. Вот их владельцам сейчас пора действовать. И главные шаги — попросту внедрить у себя все те защитные меры, которые в индустрии давно известны, просто не везде применяются.
А во-вторых, раз есть долгий и неуклонный тренд роста способностей ИИ в подобных вопросах, то вероятно, что будущие модели будут еще способнее. Так что задумываться о кибербезопасности теперь надо обязательно, причем сами ИИ-модели могут в ней помогать: благодаря им удастся не только эксплуатировать уязвимости, но и закрывать их.
Так что из текста AISI напрашивается вывод, что в шумихе вокруг Mythos есть и миф, и реальность.
Миф: появилась сенсационная модель, меняющая все в кибербезопасности.
Реальность: ИИ становится все способнее в инфобезопасности, думать об этом тренде надо, а Mythos своими результатами обращает на это внимание.
***
Дрю Брюниг
Второй любопытный текст — пост техноблогера Дрю Брюнига, который прочитал текст AISI и развил мысль дальше. В их графике «задания из 32 шагов» он обратил внимание на фактор, который сами AISI подробно не расписывали.
В основном тут бросается в глаза, что Mythos оказался способнее всех предыдущих моделей. Но Дрю посмотрел внимательно на ось абсцисс, показывающую, что на попытку пройти все 32 шага «The Last Ones» моделям выделяли по 100 миллионов токенов.
И как можно увидеть, им действительно требовалось так много: заметная часть прогресса происходила уже после 50 миллионов токенов. Получается, если хочешь, чтобы модель зашла далеко, надо быть готовым выделить ей на это много ресурсов.
В тексте AISI и официальных постах Anthropic об этом почти не говорят. Там просто тратят любое количество токенов без раздумий, а рассуждают лишь о том, каких результатов удалось достичь.
Однако Mythos — модель не только мощная, но и дорогая. Запросто использовать в ней такое количество токенов смог бы позволить себе далеко не каждый. И это значит, что в реальности здесь добавляется новый фактор: да, появился новый мощный инструмент для поиска уязвимостей, но кто может позволить себе активно его использовать?
И, по мнению Брюнинга, вся битва «атаки и защиты» в кибербезопасности тут превращается в битву кошельков. Хочешь, чтобы тебя не взломали? Будь готов потратить на поиск уязвимостей с помощью ИИ-моделей больше, чем готовы потратить на твой взлом хакеры.
Брюнинг также считает, что это играет на руку опенсорсу. Когда есть какое-то популярное решение, такое, что крупные корпорации зависят от него и готовы вкладываться в его защиту, оно может оказаться «как следует проверенным». И собственноручно собранным «велосипедам» будет сложно с ним тягаться.
Этот тезис идет вразрез с другими мнениями. Недавно, на фоне взломов LiteLLM и Axios, часть людей рассуждала, что сейчас как раз «безопаснее самому что-то имплементировать, чем пользоваться опенсорсом, подвергаясь риску атаки на цепочку поставок».
Наконец, Брюнинг пишет, что если раньше создание кода можно было делить на этапы «разработка» и «ревью», то теперь добавится отдельный этап «закалка» с ИИ-проверкой на уязвимости. И насколько он будет подробным, зависит от бюджета каждого проекта.
Из записи Брюнинга также следует, что в шумихе вокруг Mythos есть и миф, и реальность.
Миф: сейчас любой школьник будет успевать еще до завтрака найти три уязвимости в ядре Linux. Нет, даже если бы Anthropic открыли свою модель для всех, далеко не всем это было бы доступно.
Реальность: обнаружение уязвимостей становится доступнее, но пока что тем, кто может себе это позволить.
Aisle
Наконец, третий текст — от компании Aisle, занимающейся кибербезопасностью. В нем тоже рассмотрели вопрос «с учетом финансового фактора», но иначе.
В Aisle попробовали проверить, «как небольшие открытые модели способны справиться с задачами, которые решает Mythos». Для этого взяли те уязвимости, которые перечислены в тексте Anthropic. Попробовали найти их с помощью небольших моделей, и во многих случаях формально сумели.
Но есть разница: в Aisle «подсказывали» моделям, на что именно нужно обратить внимание. В то время как Mythos, по утверждению Anthropic, находил уязвимости без каких-либо подсказок, просто анализируя поочередно разные файлы проекта.
Так что к методологии эксперимента Aisle многие предъявляют претензии. Однако при этом интересно обратить внимание на другие тезисы их текста.
Aisle обращает внимание на то, что задачи кибербезопасности — это не «монолит», который можно отдавать одной модели лишь целиком. В этой большой задаче содержится целый ряд подзадач, которые можно поручать разным моделям (или делать самостоятельно).
Еще специалисты Aisle пишут, что способности небольших моделей очень неравномерны: в чем-то они очень ярко проявляют себя, с чем-то совсем не справляются. И поэтому возможна ситуация, когда небольшая модель хорошо применима к каким-то отдельным подзадачам.
Здесь становится актуальна финансовая сторона вопроса. Если Mythos — дорогая модель, а с конкретной подзадачей вполне справляется другая, которая дешевле, зачем переплачивать? Многие предпочли бы применять в каждом конкретном случае то, чего достаточно для этого самого случая.
И вывод у компании получается таким. Да, Mythos — это шаг вперед и самая мощная на сегодня модель в вопросах кибербезопасности. Но нет, из этого не следует, что с ее появлением все перевернулось. С частью подзадач все осталось как было, потому что с ними и модели попроще справляются.
В общем, у Aisle тоже получается, что миф и реальность соседствуют.
Миф: «Теперь надо срочно заменить все инструменты безопасности на Mythos».
Реальность: «Mythos полезен как мощный и дорогой инструмент, но для многих могут быть актуальны и варианты попроще».
В заключение
Для окончательных выводов стоит подождать, пока информации станет больше. Например, сейчас непонятно, каких именно масштабов окажется поток уязвимостей, обнаруженных Mythos.
Но уже сейчас можно сказать аккуратно: из имеющихся текстов следует, что не стоит ударяться в крайности. И «Mythos прорыв», и «Mythos ерунда» — слишком резкие позиции.
А общий вывод получается в следующем. Непосредственно вокруг Mythos может быть излишняя шумиха, но полезно обратить внимание на другое: как в целом растут возможности LLM в вопросах инфобезопасности. Главное — не «какие у Mythos способности сейчас», а «какой прогресс произошел за последний год».
Ведь позже появятся новые модели от разных компаний. И с высокой вероятностью они уже в этом году превзойдут Mythos в поиске уязвимостей. Также они могут повторять его достижения дешевле, сделав их доступнее широкому кругу людей (в том числе злоумышленников). Причем это могут быть открытые модели, которые в принципе не ограничишь так узким кругом пользователей, как это сделал Mythos.
В таком случае ситуация с уязвимостями может стать очень напряженной. По крайней мере, пока не будут устранен большая часть тех, которые уже много лет присутствуют в крупных проектах, но раньше оставались незамеченными.
И сейчас разумнее, может быть, готовиться к этому новому миру. Конкретная модель не переворачивает в одиночку весь мир, это миф. Но вот тот тренд, на который она указывает, дальше может многое поменять — и это уже реальность.
Комментарии (3)
proxy3d
22.04.2026 07:49Почему каждый раз читаю новости про технологические решения на хабре, это не разбор что конкретно было сделано?
Для начала стоило объяснить, что за архитектура OpenMythos и чем отличается. Архитектура состоит из трех ключевых этапов:
1. Prelude (Прелюдия)
Это входной блок стандартных слоев трансформера, которые выполняются ровно один раз. Его задача cформировать первичное латентное представление входного токена. Результат этого блока сохраняется и добавляется в каждый последующий цикл рекурсии, чтобы предотвратить "дрейф" или потерю контекста при глубоких вычислениях.
2. Recurrent Block (Рекурсивный блок)
Это основа OpenMythos. В нем данные входят в цикл (до 16 итераций). Используются одни и те же веса для каждой итерации. Это делает модель компактной, но «глубокой» с точки зрения вычислений. На каждом шаге t скрытое состояние h(t) обновляется с учетом исходного эмбеддинга из Prelude:
h(t+1) = TransformerBlock(h(t), e)
Внутри этого блока часто используется маршрутизация экспертов MoE, что дает возможность динамически выбирать нужные нейронные пути для решения конкретной подзадачи на каждой итерации.
3. Coda (Кода)
Финальный блок слоев, который также выполняется один раз, декодирует накопленное в циклах мышление в финальное распределение вероятностей токенов (логиты).
Как и в SSM, здесь главное рекуррентность. В классических трансформерах информация идет только вперед (feed-forward). В OpenMythos, как и в Mamba, текущее состояние зависит от предыдущего шага обработки.
Разница лишь в том, что в Mamba заменяет механизм внимания (Attention) на селективное сканирование (локальное внимание). OpenMythos оставляет Self-Attention внутри рекурсивного блока. То есть на каждом из 16 циклов модель заново смотрит на все остальные токены в контексте. Это дает точность и глобальное внимание трансформера, которых иногда не хватает рекуррентным сетям.
В обычной рекуррентной сети сигнал затухает. В OpenMythos на каждом цикле в блок подается не только результат предыдущего шага, но и исходный эмбеддинг из блока Prelude.
Это попытка сделать аналогию с мозгом. Хотя и очень ограниченная. В нем данные после таламуса поступают в область мозга аналогичную Recurrent Block. Затем поступают в MPFC (тут аналогии нет). Мы тут опускаем ACC и другие части. Главное что затем сигнал попадает в гиппокамп. При этом у рекуррентного блока слои 6 отдают сигнал ошибки так же таламус в ассоциативные ядра. Что я имею ввиду под аналогией?
Сигнал ошибки из слоя 6 попавший в ассоциативные ядра затем смешивается с сигналом от сенсорных ядер.
Сигнал из гиппокампа потом поступает в Recurrent Block и смешивается с сигналом от таламуса (который так же может быть смешан сенсорным и ассоциативным ядром). Механизм таламуса сложнее, но если грубо то так. Смысл в частичной аналогии, как в модели OpenMythos, входной сигнал смешивается со старым. По сути с памятью прежнего “размышления” и с ошибками, а так же с новой информацией. В OpenMythos это сделано более урезано, но само направление частично перекликается, но в более простой и ограниченной форме. Это можно было бы сравнить с чтением книги. Сенсорный сигнал - это информация прочтения абзаца. Затем обработанный сигнал через таламо-кортикальными петли снова идет на вход, где снова повторяется сигнал с прочитанного абзаца, словно пользователь прочитал и думает об этом не переходя дальше. Сравнение очень грубое и неточное, но сама идея частично перекликается.
Рекуррентный блок как раз в цикле ближе к гиппокамп (хотя без явного запоминания важных деталей - урезанная реализация). А вот аналога слоя 6 как ошибки, которая потом добавляется в начальные сенсорные данные, чтобы перестроить размышления (на альтернативные рассуждения) нет. Я вижу работы ассоциативные ядер от слоя 6 при смешивании с сенсорным сигналом, как усиление альтернативных направлений (если ошибка большая, то альтернативный маршрут может быть усилен). А в случае OpenMythos есть только смешивания сигнала с аналогом CoT, что ближе к гиппокампу, который снова идет на вход и смешивается с сигналом таламуса.
Рекуррентный блок в OpenMythos работает на удержание и уточнение контекста. Данные циркулируют, смешиваясь с «сенсорным» входом (Prelude), что функционально напоминает работу гиппокампа по поддержанию временных связей и формированию эпизодического кадра. Это похоже на внутренний монолог (Implicit CoT), где мы просто прокручиваем одну и ту же информацию. Но это пассивный процесс, он не меняет стратегию мышления на ходу.
В биологическом мозге слой 6 коры посылает проекции обратно в таламус. Если предсказание (Top-down) не совпадает с сенсорным входом (Bottom-up), возникает сигнал ошибки. В мозге высокая ошибка буквально переключает внимание таламуса на другие ассоциативные ядра. Это позволяет мгновенно сменить интерпретацию (например, когда ты понимаешь, что пятно в кустах это не тень, а тигр).
В OpenMythos этого нет. Там нет детектора рассогласования. Рекурсия идет по жестко заданному алгоритму. Если модель изначально начала с неверного рассуждения на первом цикле, она будет продолжать уточнять эту ошибку все 16 циклов, просто смешивая её с исходным сигналом. У неё нет механизма, чтобы определить что "Ошибка велика, забудь этот путь, попробуй альтернативную активацию экспертов (MoE)".
Junecat
« а сервис с говорящим названием cal.com заявил, что из опенсорсного станет закрытым»