Модели Frontier AI всё чаще используются исследователями для выявления уязвимостей в ПО в разных браузерах, операционных системах и открытых платформах. На этой неделе разработчики Zcash сообщили, что Claude Opus 4.8 помог обнаружить критическую уязвимость, которая могла бы позволить злоумышленнику выпускать неограниченное количество ZEC; при этом ошибка присутствовала с момента активации Orchard в мае 2022 года до экстренного исправления, развернутого 1 июня 2026 года. Расширяющаяся роль этой технологии в исследованиях уязвимостей вызывает опасения из-за широкого доступа к таким возможностям, особенно на фоне того, что крипто- и DeFi-проекты сталкиваются с растущими проблемами безопасности: в первые пять месяцев 2026 года было похищено более $840 миллионов.
AI-модели переходят от ассистентов в кодинге к инструментам безопасности
Ранние модели ИИ использовались профессионально как ассистенты по программированию: они помогали разработчикам писать, объяснять и отлаживать ПО. Переход от ассистента по кодингу к инструменту безопасности совпал с более широким сдвигом после запуска Claude Code в 2025 году, когда Anthropic сообщила о резком росте объёма кода, сгенерированного ИИ, в командах инженеров.
«ИИ намного лучше большинства людей умеет просматривать код и находить потенциальные уязвимости», — рассказал Decrypt Дэнни Дженкинс, CEO и сооснователь ThreatLocker. Дженкинс отметил, что текущие ИИ-системы уже ускоряют обнаружение уязвимостей, а более новые модели, такие как Mythos, могут существенно расширить эти возможности.
Дженкинс сказал, что ИИ снижает порог входа для исследований уязвимостей, позволяя большему числу людей анализировать код и выявлять слабые места. «До появления ИИ киберугрозы и эксплойты росли каждый год», — сказал он. «После ИИ всё стало ещё быстрее — и я думаю, быстрее по двум причинам. Одна в том, что теперь можно использовать ИИ, чтобы помогать находить уязвимости и эксплойты, и количество людей, которые умеют это делать, резко выросло».
Компании внедряют ИИ для обнаружения уязвимостей на разных платформах
Во вторник Anthropic расширила доступ к Project Glasswing, предоставив 150 компаниям и учреждениям доступ к Claude Mythos, чтобы помогать выявлять и устранять уязвимости в ПО до того, как модель будет выпущена более широко.
В апреле Mozilla сообщила, что модели Anthropic помогли выявить сотни уязвимостей, которые она исправила в веб-браузере Firefox, а исследователи из Calif использовали Mythos Preview во время работы, которая привела к одному из первых публичных эксплойтов, ориентированных на чипы Apple M5.
Станислав Форт, бывший исследователь Google DeepMind и Anthropic и теперь основатель и главный научный сотрудник компании Aisle по кибербезопасности, заявил Decrypt, что опасения по поводу ИИ-обнаружения уязвимостей обоснованы, но часто неверно понимаются. «Наивная реакция — попытаться ограничить доступ к мощным моделям. Я думаю, это по сути security by obscurity, и security by obscurity — одна из худших идей в этой сфере», — сказал Форт.
В мае Microsoft представила MDASH — агентную систему выявления уязвимостей, которую компания заявила, что она помогла обнаружить ранее неизвестные уязвимости в Windows.
Уязвимость Zcash подчёркивает влияние ИИ на безопасность в крипто
Независимый исследователь безопасности Тейлор Хорнби сообщил о критической уязвимости в приватном пуле Orchard Zcash, которую он обнаружил при содействии Claude Opus 4.8. Ошибка могла позволить злоумышленнику создавать неограниченное количество фальшивых ZEC.
«Уязвимость присутствовала с момента активации Orchard в мае 2022 года до того, как было развернуто экстренное исправление 1 июня 2026 года», — написала Shielded Labs, организация, стоящая за разработкой Zcash, в публикации о раскрытии. «Из-за свойств приватности Orchard и характера бага нет надёжного способа определить, используя только криптографию, произошло ли такое использование».
Более $840 миллионов было украдено из DeFi-проектов в первые пять месяцев 2026 года, включая более $600 миллионов только в апреле — по итогам атак на проекты, включая KelpDAO и Drift Protocol.
Натали Ньюсон, старший блокчейн-расследователь в Web3 security platform CertiK, сказала, что хотя апрель оказался необычно тяжёлым месяцем для эксплойтов в крипто, общий тренд остаётся более стабильным. «Апрель 2026 года был плохим месяцем для эксплойтов в крипто; было всего три дня без эксплойта, в котором как минимум $10 000 было бы похищено», — сказала она. «Однако, если посмотреть на более широкую картину, число инцидентов (исключая фишинг) можно, пожалуй, назвать довольно последовательным и всё ещё ниже пика 2023 года».
Раз Нив, CTO Blockaid, сказал, что главный риск — не то, что ИИ заменит хакеров, а то, что он усилит их, позволяя злоумышленникам сосредоточиться на более продвинутых техниках, пока ИИ занимается рутинными задачами. «Хорошая новость в том, что защитники могут использовать те же инструменты», — сказал он. «Помощное ИИ мониторинг и симуляции становятся необходимыми для команд безопасности, пытающихся идти в ногу».
FAQ
Какую уязвимость помог обнаружить Claude Opus 4.8 в Zcash?
Claude Opus 4.8 помог независимому исследователю безопасности Taylor Hornby обнаружить критическую уязвимость в приватном пуле Orchard Zcash, которая могла позволить злоумышленнику выпускать неограниченное количество фальшивых ZEC. Уязвимость присутствовала с момента активации Orchard в мае 2022 года до того, как было развернуто экстренное исправление 1 июня 2026 года.
Сколько денег было украдено из DeFi-проектов в первые пять месяцев 2026 года?
Более $840 миллионов было украдено из DeFi-проектов в первые пять месяцев 2026 года, включая более $600 миллионов только в апреле — по итогам атак на проекты, включая KelpDAO и Drift Protocol.
Какие компании внедряют ИИ-модели для обнаружения уязвимостей?
Во вторник Anthropic расширила доступ к Project Glasswing, предоставив 150 компаниям и учреждениям доступ к Claude Mythos. В апреле Mozilla раскрыла, что модели Anthropic помогли выявить сотни уязвимостей, которые были исправлены в Firefox. В мае Microsoft представила MDASH — агентную систему выявления уязвимостей, которая помогла обнаружить ранее неизвестные уязвимости в Windows.
