Привет, киберпанки! Сегодня у нас новости, от которых у любого безопасника начнет дергаться глаз. Claude Mythos Preview решила показать нам всем, что наши процессы патчинга – это просто смех сквозь слезы. По данным VentureBeat, эта нейросетевая штука от Anthropic умеет находить zero-day уязвимости с такой скоростью, что ваши админы не успеют даже кофе допить.
В чем суть проблемы?
В 2024 году исследователи из Университета Иллинойса выяснили, что GPT-4, получив описание CVE (Common Vulnerabilities and Exposures), может самостоятельно эксплуатировать 87% из набора уязвимостей. Без описания – всего 7%. Тогда это давало некую "подушку безопасности", потому что ИИ мог эксплуатировать известные уязвимости, но не мог их находить.
Но 7 апреля 2026 года Anthropic объявила, что Claude Mythos Preview закрыла эту лазейку. Модель автономно обнаружила тысячи zero-day уязвимостей в основных операционных системах и браузерах. Более того, Mythos набрала 83,1% на бенчмарке CyberGym по воспроизведению уязвимостей. В одной из кампаний, нацеленной на OpenBSD, общие вычислительные затраты составили менее 20 000 долларов. И это при 1000 прогонах!
Время идет, уязвимости остаются
Время эксплуатации сокращается. Langflow CVE-2026-33017 (CVSS 9.8) была эксплуатирована через 20 часов после раскрытия без каких-либо публичных доказательств концепции. Marimo CVE-2026-39987 (CVSS 9.3) была поражена через 9 часов и 41 минуту.
Инфраструктура защиты, на которую полагается большинство организаций, для этого не предназначена. В отчете Rapid7 за 2026 год говорится, что медианное время от публикации CVE до внесения в список известных эксплуатируемых уязвимостей CISA составляет пять дней. Отчет Google M-Trends за 2026 год показал, что эксплуатация происходит еще до выхода патча. Когда было опубликовано предупреждение Langflow, первая эксплуатация произошла через 20 часов. Когда было опубликовано предупреждение Marimo, это заняло менее 10 часов. Предположение о том, что ваше окно патча безопасно, потому что эксплуатация занимает время, больше не соответствует действительности.
Что делать?
Вот ваши строительные блоки:
Замените приоритезацию только по CVSS трехслойным фильтром
Большинство программ управления уязвимостями по-прежнему приоритизируют только по оценке CVSS. CVSS количественно определяет "теоретическую" серьезность уязвимости, не учитывая, эксплуатируется ли уязвимость в дикой природе или как быстро кто-то может ее использовать. Уязвимость CVSS 8.8 с историей активной эксплуатации (например, Docker CVE-2026-34040) получает более низкий приоритет, чем уязвимость CVSS 9.8, которая может никогда не быть эксплуатирована в дикой природе.
Недавнее исследование, проверенное на 28 377 реальных уязвимостях, предлагает конкретную замену: трехуровневое дерево решений, включающее статус CISA KEV, оценки системы прогнозирования эксплуатации (EPSS) и CVSS, образуя таким образом единый фильтр приоритезации.
Трехслойный фильтр приоритезации уязвимостей
| Слой | Источник данных | Порог | Действие | SLA |
|---|---|---|---|---|
| 1. Активная эксплуатация | Каталог CISA KEV | В списке | Немедленное исправление | Часы |
| 2. Прогнозируемая эксплуатация | EPSS через FIRST.org | Оценка ≥ 0.088 | Эскалация до конвейера уровня 0 | 24 часа |
| 3. Базовая серьезность | CVSS через NVD | Оценка ≥ 7.0 | Типичное исправление | Согласно политике |
Подтвержденный результат: в 18 раз большая эффективность, 85,6% охвата эксплуатируемых уязвимостей, ~95% сокращения объема срочных работ по исправлению. Все три источника данных открыты и бесплатны.
Описанная интеграция полностью автоматизирована. Можно создать скрипт для запроса API CISA KEV, API EPSS от FIRST.org и NVD, и запускать этот скрипт для инвентаризации ваших активов для каждой опубликованной CVE. Человек в этом процессе должен оставаться в цикле в качестве утверждающего, но не в качестве триггера.
Устраните разрыв в авторизации агентов
Быстрое создание эксплойтов меняет не только приоритетность патчей, но и то, как настраиваются элементы управления для всех систем, управляемых агентами, которые теперь обладают привилегированными учетными данными. Ваши политики авторизации не были оценены с учетом поведения агентов ИИ, и это теперь измеримый риск. CVE-2026-34040 показала, что архитектура плагинов авторизации Docker молча обходит каждый плагин, когда размер тела запроса превышает 1 МБ. Общие плагины AuthZ (OPA, Casbin, Prisma Cloud) не знают об этом типе обхода, который происходит в промежуточном программном обеспечении Docker до того, как запрос достигнет плагина.
Когда Cyera продемонстрировала эту уязвимость, они показали, что агент ИИ, отлаживающий инфраструктуру, может вывести путь обхода при выполнении законной задачи, без каких-либо инструкций по эксплуатации чего-либо.
Internet Engineering Task Force (IETF) работает над моделями авторизации для агентов. Документ draft-klrc-aiagent-auth-01, опубликованный в марте участниками из AWS, Zscaler, Ping Identity и OpenAI, предлагает использовать текущую Secure Production Identity Framework for Everyone (SPIFFE) и OAuth 2.0 для агентов ИИ для получения динамически подготовленных и краткосрочных учетных данных. Отдельно проект IETF Agent Identity Protocol (draft-prakash-aip-00) сообщает, что примерно из 2000 обследованных серверов протокола контекста модели (MCP) ни один не имел аутентификации. Но эти стандарты будут реализованы через несколько месяцев или лет. На данный момент группы безопасности должны активно включать сценарии тестирования на уровне агента для всех границ авторизации, таких как негабаритные запросы, частота всплесков и многоступенчатая эскалация привилегированных запросов.
Составьте карту радиуса действия ваших учетных данных
В опросе, проведенном CSA/Zenity и опубликованном 16 апреля, 53% организаций заявили, что уже видели случаи, когда агенты ИИ превышали свои предполагаемые разрешения, а 47% столкнулись с инцидентом безопасности с участием агента. Когда инструменты для создания ИИ, такие как Flowise (CVE-2025-59528, CVSS 10.0), Langflow или n8n, оказываются скомпрометированными, радиус поражения выходит далеко за пределы хоста. Эти инструменты содержат API-ключи к передовым моделям, учетные данные базы данных, токены векторного хранилища и токены OAuth для бизнес-систем. Скомпрометированный хост конструктора ИИ — это не просто нарушение одной системы. Это сбор учетных данных, который открывает аутентифицированный доступ ко всем подключенным сервисам.
Без карт зависимостей учетных данных для каждого хоста инструмента ИИ реагирование на инциденты при компрометации агента — это гадание на кофейной гуще. Для каждого экземпляра документируйте каждую учетную запись, степень ее доступа и соответствующий процесс ротации учетных данных. Также начните переносить статические API-ключи на краткосрочные токены, где это позволяют нисходящие сервисы.
Пять действий на этот квартал
1. Разверните трехслойный фильтр KEV-EPSS-CVSS.
Замените приоритезацию только по CVSS в соответствии с таблицей выше. Автоматизируйте сбор данных из всех трех API в рамках запланированного скрипта для инвентаризации ваших активов. Желаемый результат: в 18 раз большая эффективность, 85,6% охвата эксплуатируемых уязвимостей, 95% сокращения объема срочных работ по исправлению.
2. Внедрите патчинг на основе событий для сервисов уровня 0.
Определите, какие сервисы относятся к уровню критического воздействия: сервисы, непосредственно доступные пользователям Интернета, хосты конструкторов ИИ и оркестровка контейнеров.