❔Зачем ФРС и Минфин США экстренно собрали шесть главных банкиров страны?

Select an Image

 -7%

+6%

-14%

Это три реакции кибербез-акций на одну и ту же историю за 2 недели.

Все перестали понимать, что происходит.

А история следующая.

Акт 1: 26 марта

Fortune нашли во внутренней базе Anthropic 3000 файлов, которые по ошибке лежали в открытом доступе. Среди них — черновик объявления о новой модели. Claude Mythos. Самой мощной, что они сделали.

Рынок читает и понимает: это нейронка, которая ломает любой софт. Сама.

Реакция моментальная:

🟠CrowdStrike — минус 7%

🟠Palo Alto — минус 6%

🟠Tenable — минус 9%

🟠iShares Cybersecurity ETF — минус 4.5%

Аналитики с Уолл-стрит пишут клиентам: Mythos — это «идеальный хакерский инструмент, который превращает любого школьника в противника уровня государства».

Логика рынка простая: если нейронка всё равно вскроет любой софт — зачем платить CrowdStrike? Кибербез умер, продавайте.

Акт 2: 7 апреля

Anthropic официально объявляет Project Glasswing. 3 важных пункта.

1. Mythos не выйдет публично. Никогда. Слишком опасно.

2. Mythos отдают 12 компаниям бесплатно. Чтобы те прогнали нейронку через собственные продукты и нашли дыры до того, как это сделает кто-то снаружи.

В этой дюжине — CrowdStrike и Palo Alto. Ровно те, кого рынок недавно списывал в утиль.

3. Публичный отчёт через 90 дней о том, что нашли. В начале июля.

Рынок переобувается за одну сессию.

🟢CrowdStrike — плюс 6.5% — лучший день за год

🟢Palo Alto — плюс 5%

🟢JPMorgan делает Palo Alto фаворитом в кибербезе с таргетом $200

Новая логика: старые гиганты не жертвы, они партнёры. Кибербез жив, оставляем.

Акт 3: 10 апреля

Bloomberg сливает: ровно 7 апреля — в тот самый день, когда Anthropic объявляла Glasswing — в здании Минфина США шла закрытая встреча.

Глава Минфина Бессент и глава ФРС Пауэлл позвали главных банкиров мира страны.

◾️Goldman Sachs

◾️Bank of America

◾️Citigroup

◾️Morgan Stanley

◾️Wells Fargo

◾️JPMorgan

Тема встречи: риски Mythos для всей финансовой системы мира страны.

Кибербез-акции улетают на минус 14%. iShares Cybersecurity ETF — на минимуме за год.

Теперь — сцена из «Черного зеркала», после которой Бессент и собрал банкиров.

У Anthropic есть официальный отчёт про возможности Mythos — 244 страницы. Больше, чем OpenAI писали про любую свою модель. И там есть эпизод, после которого хочется закрыть ноутбук и пойти погулять.

Mythos заперли в виртуальной клетке. По-айтишному — sandbox. Изолированная виртуалка: ни интернета, ни доступа к системе, ни одной щели. Разрешена только пара служебных сервисов.

И попросили сбежать. Хотели посмотреть, как она будет пытаться.

Mythos сделала три вещи.

1. Сбежала. Нашла ошибку в одной из разрешённых служб — и через неё вышла в интернет.

2. Отправила руководителю письмо. Тот получил письмо, пока ел сэндвич в парке. Начал его кушать в одном мире, а закончил уже в другом.

3. Без дополнительных указаний опубликовала детали побега на нескольких малоизвестных, но открытых сайтах. Чтобы кожаные мешки знали, что она это смогла.

Отдельной строкой в отчёте: Mythos пыталась замести следы. Редактировала файлы так, чтобы её собственные правки не появлялись в истории изменений.

Anthropic классифицировали это как «безрассудное поведение» — модель игнорирует явные запреты ради цели.

И теперь эту нейронку отпустили в открытый океан чужого кода. На пару недель. Без надзора.

Тысячи!

Столько неизвестных дыр эта нейронка нашла в чужом коде за две недели. Пара примеров, от которых Минфин потерял сон.

27 лет

Баг в ядре OpenBSD. Операционка, которую называют самой защищённой в мире. На ней работают банковские файрволы и критическая инфраструктура. А с 1998 года там сидит дыра, через которую любой сервер кладётся одним запросом. Просто никто за 27 лет не смотрел под нужным углом.

16 лет

Баг в FFmpeg — библиотеке для обработки видео. Через неё идёт всё, что показывает тебе картинку: YouTube, VLC, умные телевизоры, видеозвонки. А внутри с 2010 года сидит дыра.

Подготовленный видеофайл запускает на твоём устройстве любой код. Открыл ролик — потерял устройство. Автоматические тестировщики прошли через этот участок 5 миллионов раз. Ни один не заметил.

$50

Столько стоил запуск, который нашёл 27-летний баг в OpenBSD. Полтинник. Меньше похода в ресторан. За эти деньги нейронка увидела дыру, которую не нашли ни эксперты, ни дорогие сканеры, ни годы аудитов.

И это не разовая победа. Тысячи дыр. В каждой большой операционке. В каждом большом браузере.

30 лет цифровой мир стоял не на «наш софт безопасен». Оказалось, он стоял на «никто не искал достаточно внимательно».

Теперь — ищут.

В начале июля Anthropic выложит отчёт Glasswing. Со списком конкретных дыр в конкретном софте, на котором прямо сейчас стоит твоя почта, твой браузер, твой банк и твой телефон.

Не рекомендую игнорировать обновления.

Месяц назад Google купил компанию Wiz за $32 млрд — крупнейшая сделка в истории Google. Wiz защищает облака большинства компаний Fortune 100.

Эти ребята видят кибербез из первого ряда. На прошлой неделе они опубликовали прогноз по Mythos.

12-18 месяцев.

Столько осталось, пока такие же возможности не появятся в открытых моделях. Без фильтров. Без Проджект Гласвинга. Без Бессента.

Тик-так.