Глава OpenAI Сэм Альтман публично прошёлся по тому, как Anthropic рассказывает о своей кибер-LLM Claude Mythos — мол, компания продаёт «страх» вместе с обещанием защиты. История важна не только из‑за слов Альтмана: на фоне гонки «модели для взлома vs модели для защиты» бизнесу придётся иначе выстраивать безопасность и разработку.
Сэм Альтман, генеральный директор OpenAI, раскритиковал подход Anthropic к продвижению своей кибер-ориентированной модели Claude Mythos. По его словам, вокруг таких продуктов легко построить коммуникацию, где сначала подчёркивается масштаб угрозы, а затем предлагается «единственный правильный» способ от неё защититься — через доступ к самой модели и связанным сервисам.
О чём спор: модель для киберзащиты или повод для паники
Поводом стала публичная дискуссия о Claude Mythos Preview — «фронтирной» модели Anthropic, которую компания пока не вывела в массовый доступ. Anthropic позиционирует Mythos как инструмент, способный резко усилить оборону: в описании инициативы Project Glasswing говорится, что модель уже обнаруживала тысячи уязвимостей высокой критичности, причём в крупных операционных системах и браузерах.
На практике это звучит как двойной сигнал для рынка:
- для защитников — шанс ускорить поиск и исправление ошибок в критичном ПО;
- для всех остальных — напоминание, что похожие возможности рано или поздно появятся и у атакующих (или у тех, кто будет использовать такие инструменты без должных ограничений).
Что именно сказал Альтман — и почему это зацепило аудиторию
В обсуждении на медийной площадке Core Memory Альтман, говоря о Mythos, раскритиковал логику «контроль должен быть у избранных, потому что это опасно». В качестве иллюстрации он сравнил ситуацию с моделью, где сначала создают «бомбу», а затем дорого продают «бомбоубежище» тем, кто теперь боится последствий.
Ключевая мысль здесь не столько про конкретную компанию, сколько про новую реальность: безопасность становится частью продуктового маркетинга ИИ-моделей, а публичные заявления о «возможностях, превосходящих людей», напрямую влияют на ожидания бизнеса и регуляторов.
Почему новость важна разработчикам и компаниям, которые «просто делают продукт»
Даже если команда далека от исследований ИИ, спор вокруг Mythos подсвечивает несколько практических вещей:
- Окно между “уязвимость найдена” и “уязвимость закрыта” должно сокращаться. Чем сильнее автоматизация поиска багов, тем быстрее придётся реагировать: патчи, обновления зависимостей, пересборки контейнеров.
- Проверки безопасности в CI/CD станут обязательным минимумом, а не «дополнительной опцией». Речь про SAST/DAST, сканирование зависимостей, контроль секретов, SBOM и дисциплину обновлений.
- Управление доступами к коду и окружениям разработки будет критичнее. Если модели помогают быстрее находить точки входа, то утечки токенов, ключей и доступов начинают стоить дороже — и происходить «быстрее, чем успевают заметить».
Что можно сделать уже сейчас (без паники и без бюджета в $100 млн)
Если перевести разговор из плоскости громких заявлений в плоскость рутины, то самый рациональный план выглядит так:
- Пересмотреть процесс патч-менеджмента (кто принимает решение, как быстро выкатываются обновления, где узкие места).
- Навести порядок в зависимостях: инвентаризация, приоритет критичных библиотек, регулярные обновления вместо «раз в квартал».
- Укрепить цепочку поставки: минимальные права, разделение окружений, мониторинг изменений, запрет «вечных» секретов.
Смысл новости в том, что дискуссия о «страхе в маркетинге» совпала по времени с реальным сдвигом в индустрии: ИИ-инструменты всё заметнее меняют скорость атаки и скорость защиты. А значит, выигрывать будут те, кто опирается не на громкие обещания, а на устойчивые процессы.
