Исследователи из Университета Карнеги-Меллона представили бенчмарк ExploitBench, который официально фиксирует конец эпохи, когда ИИ считался просто продвинутым собеседником. Теперь агенты способны автономно находить и эксплуатировать критические уязвимости в движке V8 — фундаменте Google Chrome, Microsoft Edge и Cloudflare Workers.
Согласно результатам исследования, модель Claude Mythos Preview от компании Anthropic демонстрирует компетенции на уровне опытного специалиста по кибербезопасности. Она успешно реализовала удаленное выполнение произвольного кода (RCE) — высшую форму компрометации системы — в 21 из 41 протестированного случая.
Разрыв между лидерами рынка оказался колоссальным. Пока GPT-5.5 от OpenAI демонстрировала скромные результаты, ограничившись двумя успешными эксплойтами со средним баллом 5,51 из 16, Claude Mythos уверенно удерживала показатель 9,55 в полностью автономном режиме. Как отметил соавтор исследования Сынхён Ли, Mythos воспроизвела уязвимость CVE-2024-0519, которая ставила в тупик экспертов-людей более года. Модель разработала методы атаки, ранее считавшиеся избыточно сложными для реализации. Это наглядное подтверждение того, что наступательный потенциал ИИ растет значительно быстрее наших протоколов защиты.
Впрочем, пока единственным сдерживающим фактором остается цена. Запуск тестового набора на Claude Mythos обошелся в 36 428 долларов — это в десять раз дороже, чем использование GPT-5.5 через Codex. По оценке британского Института безопасности ИИ, Mythos остается превосходным, но крайне дорогостоящим «цифровым оружием». Для бизнеса это означает, что угроза автономного взлома сейчас ограничивается исключительно стоимостью API и вычислительных мощностей.
Мы входим в эру, когда ИИ-агенты превращают известные бреши в безопасности в оружие быстрее и креативнее, чем целые профильные департаменты. Обычного управления обновлениями больше недостаточно: любую инфраструктуру с интегрированными агентами следует считать живой мишенью для автоматизированной атаки. Высокая стоимость таких взломов сегодня — ваше единственное временное преимущество. Его необходимо направить на внедрение детерминированных слоев защиты и «закаливание» систем, пока стоимость вычислений не упала, превратив киберпреступность в массовый и дешевый процесс.