Anthropic выпустила «лучший киберинструмент» — и отключила его по директиве правительства за 15 минут
Anthropic запустила мощнейшую киберсистему — и за 2 месяца слила данные, зарезала функции и отключила модель по директиве США. Разбираем, что пошло не так.
За два месяца Anthropic успела слить черновики через дырявый сайт, выкатить публичную модель с фильтрами, которые блокируют слово «рак», и отключить всё разом по требованию правительства США. Вот как это было — и почему это касается любого, кто строит продукты на чужой инфраструктуре.
Как начинается история про «беспрецедентную кибербезопасность»
В конце марта 2026 года исследователи из LayerX и Кембриджского университета обнаружили, что сайт Anthropic настроен так, что три тысячи неопубликованных файлов — черновики, PDF-документы, изображения — лежат в открытом и индексируемом публичном хранилище. Никакого взлома: просто пошли по ссылкам, заглянули в окна.
В одном из черновиков значилось, что новая модель «несёт беспрецедентные киберриски». Компания, которая продаёт кибербезопасность, слила сама себя через дырявую конфигурацию сайта. Это не ирония — это архитектурная проблема, которая повторяется в любом продукте, где инфраструктура отдана на откуп автогенерации без аудита.
Что такое Mythos и зачем он нужен
7 апреля Anthropic официально представила Claude Mythos Preview в рамках проекта Glasswing. Заявленные характеристики впечатляют: $100 млн инвестиций, одиннадцать партнёров — AWS, Apple, Cisco, Google, Microsoft, NVIDIA, Palo Alto Networks и другие, сорок организаций в закрытом доступе.
Практический смысл инструмента — автоматизированный поиск уязвимостей в программном обеспечении. К 26 мая система нашла более 10 000 критических уязвимостей в «критичном софте». Глава Palo Alto Networks назвал альянс «важнейшим в сфере кибербезопасности со времён создания CISA» (Агентство по кибербезопасности и защите инфраструктуры США, основано в 2018 году).
Звучит убедительно. Но дальше начинается интересное.
Публичная версия, которая боится слова «рак»
9 июня вышел Fable 5 — публичная версия Mythos с многоуровневой системой фильтров. Именно здесь продукт начал разваливаться на глазах у пользователей.
Что фиксировали пользователи в первые дни:
- Слово «рак» в медицинском контексте помечается как биориск и блокируется.
- Запрос на редактирование резюме с должностью «Application Security Architect» — отказ.
- Просьба высказать мнение об Илоне Маске или CEO Anthropic Дарио Амодеи — «это может быть опасно».
- 200 из 200 задач в бенчмарке ProgramBench — отказ выполнять.
Часть отказов происходила молча: пользователя без предупреждения переключали на более старую модель. Когда это вскрылось, Anthropic признала, что «сделала неправильный выбор», и пообещала показывать отказы явно — с объяснением причины. То есть теперь вам отказывают, но вежливо и с табличкой.
На Reddit появились посты с формулировкой «не запуск модели, а превью неравенства ИИ»: полноценный инструмент — сорока избранным организациям, публике — кастрированная версия с гиперагрессивными фильтрами.
Рубильник: 12 июня, 17:21 по восточному времени
Это ключевой момент для любого, кто строит продукты на облачных AI-сервисах.
12 июня правительство США направило Anthropic директиву по экспортному контролю: немедленно отключить Fable 5 и Mythos 5 для всех иностранных пользователей — внутри страны, за её пределами, включая сотрудников самой Anthropic с «неправильным» паспортом.
Проблема в том, что отделить иностранного пользователя от гражданина США в облаке на лету технически нетривиально. Anthropic решила не разбираться — и отключила обе модели для всех клиентов без исключения.
Официальная причина: правительство «узнало о методе обхода» Fable. Метод заключался в том, что модель попросили прочитать кодовую базу и исправить баги. Она нашла несколько давно известных уязвимостей — тех самых, которые, по собственному признанию Anthropic, регулярно находит публичный GPT-4.5 и любой опытный багхантер.
Из-за этого была отозвана коммерческая модель, развёрнутая для сотен миллионов пользователей.
Где это ломается — и почему это системная проблема
История с Mythos — не про конкретные баги в продукте. Это учебный пример нескольких архитектурных и стратегических ловушек.
Асимметрия атаки и защиты. Найти уязвимость дешевле и быстрее, чем её закрыть — это не мнение, это математика. Mythos автоматизировал наступление, но не решил проблему скорости реакции на стороне защиты. Пока сорок организаций латают 10 000 дыр, неизвестно, какой ещё софт проходит «препарацию» параллельно.
ИИ по паспорту стал реальностью. До 12 июня гео-ограничения были размытыми: что-то можно, что-то нельзя, детали в EULA мелким шрифтом. После 12 июня стало предельно конкретно: ваш доступ к инструменту определяется не законодательством вашей страны и не вашими задачами, а строчкой в паспорте и директивой чужого правительства. Рубильник выключается за 15 минут без объяснения деталей.
Зависимость от чужой инфраструктуры — это операционный риск. Если ваш продукт или исследование завязано на модели, которую контролирует иностранная компания под иностранной юрисдикцией, вы не контролируете доступность своего инструмента. Это не паранойя — это произошло 12 июня 2026 года в реальном времени.
Что попробовать дальше
Если вы строите продукты или исследования на AI-инфраструктуре и история с Mythos вас зацепила — вот практические направления:
Диверсификация провайдеров. Не держите критичные пайплайны на одной модели одного провайдера. Архитектура с fallback на альтернативного провайдера (Mistral, локальные модели через Ollama, self-hosted решения) — это не паранойя, а базовая отказоустойчивость.
Аудит конфигурации хранилищ. История с тремя тысячами публичных файлов — классическая ошибка misconfigured S3/GCS bucket. Прогоните свою инфраструктуру через aws s3api get-bucket-acl или аналог для вашего провайдера. Это занимает час, не требует бюджета и закрывает целый класс инцидентов.
Мониторинг экспортных ограничений. Если вы работаете с американскими AI-сервисами из-за рубежа или обслуживаете международную аудиторию — следите за обновлениями Export Administration Regulations (EAR). Директивы приходят быстро, а окно на реакцию, как показал июнь, может быть меньше суток.
Self-hosted альтернативы для чувствительных задач. Для задач в области безопасности — пентеста, анализа кода, работы с уязвимостями — рассмотрите локальный деплой открытых моделей. Это медленнее и дороже в настройке, но рубильника снаружи нет.
Меч, который ковали против хакеров, оказался обоюдоострым. И это, пожалуй, самый честный итог всей истории.