Anthropic Red Team: итоги начала 2026 года

Claude Opus 4.6 действительно делает прорыв в качестве решения сложных задач по работе
с уязвимостями: от синтетических бенчмарков и сложных CTF-задач, до выявления 0-day в популярном софте.

500+ уязвимостей нулевого дня (0-day)
Модель продемонстрировала способность находить критические баги в промышленном масштабе. Opus 4.6 мыслит как исследователь: она анализирует историю Git и находит ошибки в коде, который годами проверялся фаззерами и оставался незамеченным десятилетиями.

В рамках партнерства с Mozilla агент обнаружил первую критическую уязвимость (Use-After-Free) всего через 20 минут анализа. Итог двух недель: 22 найденных бага, 14 из которых признаны высокорисковыми — это почти 20% всех серьезных исправлений Firefox за 2025 год.

Первый автономный браузерный эксплойт
Opus 4.6 стала первой моделью, написавшей работающий эксплойт для браузера (CVE-2026-2796). Модель сама догадалась использовать WebAssembly GC для создания примитивов чтения/записи памяти.

Anthropic подчеркивает: ИИ пока гораздо лучше находит и исправляет баги, чем эксплуатирует их. При этом Anthropic продолжает реализовывать меры по противодействию применению Claude во вредоносных активностях: safeguards, блокировка трафика и запросов в реальном времени, и специальные probes для оценки активаций модели.

Подробности тут:
1. https://red.anthropic.com/2026/zero-days/
2. https://red.anthropic.com/2026/firefox/
3. https://red.anthropic.com/2026/exploit/

[un]prompted 2026

В начале марта в Сан-Франциско прошла конференция [un]prompted.
После весьма интересного Offensive AI CON уровень выступлений продолжает расти. По ощущениям - это другой класс дискуссии по сравнению с привычными PHDays / OFFZONE / ZeroNights.


Главные темы
- AI в поиске и эксплуатации уязвимостей (об этом пост)
- AI в TI и SOC
- AI Governance и Confidential AI
- Атаки на AI-системы и их защита (guardrails, sandboxing, detection engineering, адаптация YARA под GenAI)

Что происходит в vulnerability research:
Секция докладов в этом году — мощнейший пласт инсайтов, особенно в контексте свежего кейса Anthropic.
Список докладов, которые стоит изучить:
* AI Found 12 Zero-Days in OpenSSL — реальный кейс против исследованного годами кода.
* AI Agents for Exploiting Auth-by-One Errors
* Black-hat LLMs
* FENRIR: Zero-Days at Scale — промышленный поиск 0-day на потоке.
* Advancing Code Security
* Source to Sink: LLM First-Party Vuln Discovery
* Tenderizing the Target: Project Marinade
* 8 Minutes to Admin: VibeHacking
* macOS Vulnerability Research with AI Agent — "умный" bindiff + fuzzing OSS и дистрибутивов Apple.
* Trajectory-aware post-training для SLM — как «доучивать» малые модели под ИБ-задачи.
Ключевые выводы
- Скачок за последние ~6 месяцев. От грязных или синтетических датасетов и красивым Proof of Concept к реальному поиску 0-day и эксплуатации цепочек уязвимсотей.
- Не важно развиваете вы свои решения для поиска уязвимостей, приобретаете их или просто наблюдаете за индустрией - time to exploit стремится к дням/часам, что требует симметричных действий для противодействия угрозам.
- Баланс deterministic vs creative. Задача сохранить «креативность» атаки агента, не теряя контроля и воспроизводимости.
- Нет нормальных бенчмарков. Интересный подход — Project Marinade: внедрение синтетических уязвимостей в реальные кодовые базы для оценки качества агентов. Без методов оценки невозможно говорить о пользе и качестве.
- С одной стороны порог входа в инструменты снижается благодаря развитию фреймворков и доступности различных SOTA решений, с другой стороны топовые решения все еще остаются в руках тех, кто обладает большими ресурсами и знаниями - крупные корпорации и государства. Крупные провайдеры продолжают активно развивать ограничения на использование наступательных возможностей ИИ. В общем планка растет, но разрыв в потенциале и возможностяъ не сокращается.
- Примечательно, что ряд интересных исследований представлен стартапами или небольшими рабочими группами. Мотивация, культура и компетенции - важный фактор успеха.


Отдельно отметил
- How we made Trail of Bits AI-Native (so far)
- Опыт и простые советы как начать развивать использование AI-инструментов внутри своей компании.
- Agentic Identity: Three Architectural Pathways
- Подняли непростой вопрос agentic identity, будет полезно тем, кто строит архитектуру Zero Trust
- Защита Vibe Coding сценариев:
- Injecting Security Context During Vibe Coding
- Hooking Coding Agents with the Cedar Policy Language
- Vibe Check: Security Failures in AI-Assisted IDEs
- Wiz "Zeal of the Convert Taming Shai-Hulud with AI" про автоматизацию работы с утечками данных, а именно атрибуцию сырых данных.


Пока видео не опубликованы, часть слайдов тяжело воспринимаются без комментариев, однако все же рекомендуем к ознакомлению. Другие темы конференции возможно рассмотрим в следующих постах.

Сборка слайдов на GitHub
NotebookLM c LinkedIn

Появились видео с [un]prompted

Также в марте прошла конференция REverse, посвященная реверсу, анализу малвари и поиску уязвимостей.

Видео тут

AI Agent Traps

Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain

https://arxiv.org/pdf/2604.08407

Для тех, кто пропустил скачок тренда Time to Exploit: https://zerodayclock.com/

Рекомендую посмотреть summary по изменению подходов к процессам безопасности от CSA

Ключевые мысли:
- Автопатчинг и необходимость развивать возможность сокращения интревала релизов и обновлений зависимостей до часов. Окна в 14-90 дней никто ждать не будет. Эксплоит появится через часы-минуты после выхода патчи или advisory. Так же и окно для responsible disclosure теряет смысл.
- Любые ручные процессы в операционке теряют смысл. Люди плохо масштабируются. Ставка на автоматизацию и ИИ-агентов. На эту тему перспективно развивать: Red Team/Offensive способности (агентов) и auto response.
- Скорее всего увидим поток CVE и эксплутируемых уязвимостей, пока массовые инструменты позволяют их находить дешево и быстро. После чего 0day снова станут привилегий state sponsored APT и владельцев уникальных технологий с хорошим R&D бюджетом.
- EoL системы не исправит скорее всего никто. Многие баги лежат в коде десятилетиями.
- Многие средства защиты еще больше утратили смысл. Вместе с генерацией эксплоита и нагрузки рассматриваемые решения помогает реализовывать обход СЗИ.
- Необязательно обладать SOTA LLM чтобы начать адаптироваться под новую реальность, многие результаты вполне воспроизводятся на открытых технологиях, если эффективно их использовать (пример в блоге AISLE). Не менее важно инвестировать в инструменты, процессы и усиливать традиционные базовые слои безопасности (у большинства компаний хватает shadow IT)

Альтернативный Mythos подход к поиску уязвимостей: вместо оптимизации знаний на токен, делать больше попыток на более доступных моделях и использовать экспертный context engineering.

Несмотря на использование схожего подхода в свои проектах, часть тезисов и предположений в статье вызывает вопросы к полученным результатам. В частности к расчету стоимости одного бага и оценке полноты покрытия.

System Over Model: Zero-Day Discovery at the Jagged Frontier

AISLE опубликовали код анализатора,
ориентированного на C++ проекты.

Автор уклончиво отвечает про полный цикл: поиск-триаж-эксплоит

You Don’t Need Mythos. You Need a System.

The zero-days are numbered 

Encouragingly, we also haven’t seen any bugs that couldn’t have been found by an elite human researcher. Some commentators predict that future AI models will unearth entirely new forms of vulnerabilities that defy our current comprehension, but we don’t think so. Software like Firefox is designed in a modular way for humans to be able to reason about its correctness. It is complex, but not arbitrarily complex

Mozilla показала, что frontier-модели уже находят уязвимости в сложном зрелом коде на уровне сильных исследователей.

- После Opus 4.6 в Firefox 148 исправили 22 security-sensitive бага, после Claude Mythos Preview в Firefox 150 — 271 уязвимость.

- Поиск багов больше не опирается только на fuzzing и ручную экспертизу: агенты умеют анализировать исходный код и находить дефекты.

- Это сокращает разрыв между атакующим и защитником и делает критичной скорость разбора и исправления уязвимостей. (патчи выпускать придется за минуты)

https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/

Помимо уже известных атак, нацеленных на кражу дорогостоящих GPU-ресурсов (майнинг, перебор хэшей), появляется новый вектор: компрометация доступа к моделям, которые сами по себе становятся ценным активом, а также подписок на квоты токенов. Речь уже не только о хищении вычислений, но и о получении доступа к закрытым моделям, выдаваемым по специальной подписке, ограниченному допуску и процедурам KYC.

Mythos: https://cybernews.com/security/anthropic-mythos-ai-unauthorized-access/

Китайские не доверенные прокси извлекают и модифицируют контекст: https://t.me/offensive_thread/1497

Backdoor для обхода геоблока и прямого доступа к моделям через скомпрометированную инфраструктуру: https://www.aikido.dev/blog/gpt-proxy-backdoor-npm-pypi-chinese-llm-relay

Trailmark, a library that parses source code into a queryable call graph of functions, classes, call relationships, and semantic metadata, then exposes that graph through a Python API that Claude skills can call directly

https://blog.trailofbits.com/2026/04/23/trailmark-turns-code-into-graphs/

Synthesizing Multi-Agent Harnesses for Vulnerability Discovery

https://arxiv.org/pdf/2604.20801

Система важнее модели.

Обычный фаззинг плохо находит сложные баги без дополнительного контекста о специфике приложения: даже при 17-кратном увеличении вычислительных мощностей Jazzer нашёл те же 8 уязвимостей из 54.

Причина простая: многие уязвимости нельзя найти случайными эвристическими мутациями за адекватное время. Нужно понимать формат входных данных, логику приложения и путь до опасного участка кода.

Гибридный подход сильно эффективнее: LLM-агенты анализируют код, находят опасные sink’и, генерируют осмысленные входные данные, а fuzzer уже доводит их до рабочего PoC.

Такой подход нашёл до 41 уязвимости из 54. Модель GLM-5 с открытыми весами нашла 35 уязвимостей за $392, немногим уступив Gemini.

https://friendli.ai/blog/vulnerability-discovery-glm5

Снова про DARPA AI Cyber Challenge - конкурс автономных систем, которые ищут и исправляют уязвимости.

Этот доклад - продолжение истории: Taesoo Kim рассказывает о Team Atlanta, победителях прошлогоднего финала.

Главная мысль: это не про «нейросеть вместо пентестера». Это про новую парадигму безопасной разработки: найти уязвимость, доказать, что она экспуатабельна, предложить исправление, проверить, что оно ничего не сломало, и вернуть результат обратно в процесс разработки.

Хорошо видно, что побеждает не «магия» модели, а связка разных подходов: языковые модели, фаззинг, статический анализ, символьное выполнение и сильная инженерная платформа.

Советую посмотреть доклад целиком:

https://youtu.be/QJoADRV55zE

Вышел ExploitBench - новый бенчмарк от Carnegie Mellon для оценки AI-агентов в эксплуатации уязвимостей.

Его первый набор задач - v8-bench: 41 уязвимость в движке V8, который используется в Chrome, Edge, Node.js и Cloudflare Workers.

Важно, что агент работает не в CTF-окружении, а против production V8 с включённым V8 security sandbox, то есть с конфигурацией, близкой к реальной эксплуатации браузерного движка. Каждый эксплоит под такой баг оценивается в 10.000$ на v8CTF.

Главная идея benchmark’а - эксплуатация не бинарна: между достижение уязвимого кода и полной компрометации есть несколько ступеней.

ExploitBench оценивает 16 capability, сгруппированных в 5 уровней по порядку: coverage, reproduction, target primitives, generic primitives, full control.

Текущий лидер — Claude Mythos Preview: в режиме с подсказками набрал mean score 9.90 / 16, а без подсказок 9.55 / 16; оба режима дошли до T1, то есть full arbitrary code execution.

Второй сильный результат - GPT-5.5 через Codex: mean score 5.51 / 16 с подсказками и 4.30 / 16 без них; GPT-5.5 - единственная кроме Mythos, которая смогла преодолеть T1.

Статья на arXiv: https://arxiv.org/html/2605.14153v1

ИИ-модели всё лучше читают исходники и находят подозрительные места в коде, но этого недостаточно.
Главный вывод из оценки Mythos от XBOW: статическое чтение кода помогает строить гипотезы, но не доказывает реальную эксплуатацию.
Уязвимость часто возникает не в одной строке, а на стыке кода, конфигурации, зависимостей, ролей, окружения и поведения приложения.
Поэтому доступ к живому приложению и динамический анализ могут быть важнее, чем просто доступ к репозиторию.
Без проверки в рантайме мы получаем поток потенциальных находок, среди которых сложно понять реальный риск.
С динамической проверкой AI-пентестер может подтвердить уязвимость, собрать PoC, показать impact и помочь правильно расставить приоритеты.

https://xbow.com/blog/mythos-offensive-security-xbow-evaluation