00:00:00Как разработчик программного обеспечения и, думаю, вообще как человек, но особенно как разработчик,
00:00:06сейчас невозможно игнорировать Anthropic. Хотите вы того или нет. И я не думаю, что вам стоит пытаться
00:00:12игнорировать это, потому что это важно. Это важно для нашего будущего как разработчиков, я бы сказал.
00:00:20И в этом эпизоде я не буду говорить об утечке Claude Code, которая произошла на прошлой неделе. Я не буду говорить о
00:00:28их ужесточенных условиях использования подписок, таких как Claude Max и так далее,
00:00:36и о том, как они борются с несанкционированным использованием этих подписок. Они делают это прямо
00:00:43сейчас, потому что, конечно, их подписки, как и подписки от OpenAI, сильно субсидируются,
00:00:50и они не могут заработать денег, если каждый будет выжимать максимум из своей подписки. Так что да, они действительно
00:00:56ограничивают или пытаются ограничить использование своих подписок только людьми, только на их
00:01:04сайте, в Claude Code или в десктопном приложении Claude. Но опять же, это не главная тема здесь,
00:01:11и я даже не буду акцентировать внимание на их впечатляющем росте выручки, который, впрочем, заслуживает краткого упоминания,
00:01:19потому что Anthropic достигла годового регулярного дохода в 30 миллиардов долларов, что само по себе
00:01:27впечатляет, но особенно это впечатляет в сравнении с 9 миллиардами долларов в конце 2025 года. Так что
00:01:35они более чем утроили свою годовую выручку всего за несколько месяцев. Что
00:01:41действительно поразительно. И поэтому, конечно, если вы хотите научиться эффективно использовать Claude Code,
00:01:47как получить от него максимум, у меня есть курс по этой теме, и он очень популярен, что,
00:01:53конечно, меня радует. Ссылку вы найдете ниже, если захотите присоединиться и узнать, как эффективно работать с
00:01:59Claude Code. Но, как я уже сказал, это даже не основная тема. Вместо этого я хочу поговорить о
00:02:05Project Glasswing и их новой модели Mythos, которую они еще не выпустили в открытый доступ,
00:02:14и они также объяснили почему. И я думаю, это важно понимать, а также важно попытаться
00:02:20заглянуть за кулисы, понять их логику и то, какое влияние эта новая модель, принципы ее работы
00:02:27и ее возможности окажут на нас, разработчиков. Итак, что такое Project Glasswing? О чем эта новая модель?
00:02:33Ниже вы, конечно, найдете ссылку и на эту статью. Это статья на официальном
00:02:39сайте Anthropic, где они анонсировали Project Glasswing, а также рассказали о своей новой модели.
00:02:44И если я прокручу немного вниз, мы уже увидим краткую статистику бенчмарков, где показано,
00:02:52что эта новая модель, превью-версия Mythos (название модели — Mythos), работает
00:02:59гораздо лучше, чем Opus 4.6. И в зависимости от того, на какой именно бенчмарк вы смотрите,
00:03:07разница между Opus 4.6 и этой новой моделью весьма существенна. Само по себе это, конечно, не
00:03:15супервпечатляюще. Всякий раз, когда анонсируется новая модель, неважно какой компанией, она работает намного лучше
00:03:21или хотя бы чуточку лучше всех конкурирующих моделей, иначе бы ее просто не выпускали. И, конечно,
00:03:26существуют способы подтасовки некоторых из этих бенчмарков, поэтому я обычно не слишком доверяю
00:03:31этим цифрам в бенчмарках, и эта модель не стала бы исключением, если бы не
00:03:39интересные факты о новой модели Mythos. А именно то, что Anthropic решила не
00:03:46выпускать ее для широкой публики, потому что, по их словам, она слишком хороша в поиске и эксплуатации уязвимостей
00:03:56в операционных системах, любом другом софте, браузерах — в программном обеспечении в целом. И в этой статье,
00:04:05а также в отдельной статье, ссылка на которую также приведена ниже, они делятся подробностями. И в частности эта
00:04:11отдельная статья чрезвычайно длинная и приводит конкретные примеры уязвимостей и
00:04:19потенциальных эксплойтов, которые нашла эта новая модель. Например, они начинают статью с описания
00:04:28очень серьезного эксплойта и уязвимости, которая была обнаружена в OpenBSD. OpenBSD — это, конечно, операционная система,
00:04:38которая популярна, например, в определенном сетевом программном обеспечении. И Mythos, их новая модель,
00:04:45работая в агентной связке (подобно Claude Code, полагаю), смогла найти и — что самое
00:04:53интересное — эксплуатировать уязвимость, связанную с переполнением целых чисел и доступом к памяти,
00:05:02неожиданным доступом к памяти, который позволял вызывать сбой машин под управлением OpenBSD воспроизводимым способом.
00:05:12Это, конечно, могло быть использовано для проведения разрушительных DDoS-атак путем многократной отправки
00:05:20специфических пакетов и запросов на такие машины, что использовало уязвимость для вывода из строя
00:05:27этих машин и потенциально целых корпоративных сетей. И эта уязвимость была
00:05:34обнаружена в ходе сессии стоимостью менее пятидесяти долларов, хотя общая стоимость всех запусков составила менее двадцати
00:05:43тысяч долларов. И так как вы, разумеется, не знаете заранее, какой именно запуск найдет уязвимость,
00:05:48важно именно это итоговое число. Тем не менее, легко представить, что модель, способная находить
00:05:57столь критические уязвимости за такую сравнительно низкую цену... в зависимости от того, кто вы —
00:06:04если вы, например, целое государство или серьезный злоумышленник, то для вас это может быть совсем небольшая сумма.
00:06:13Это, безусловно, проблема, потому что легко представить: если бы такая модель была разработана
00:06:22компанией или организацией, которая меньше заботится о безопасности или которая, возможно, не
00:06:31боится никаких последствий злоупотребления такими уязвимостями, то это могло бы стать большой бедой.
00:06:42И кажется, будто мы входим в новую эру ИИ, с этими моделями ИИ, где ничто не защищено,
00:06:56и развернуть ИИ-агентов с подобными моделями для сканирования любого
00:07:05ПО и поиска (а также потенциальной эксплуатации) уязвимостей стало проще, чем когда-либо. И, конечно, человеку
00:07:13в одиночку за этим не угнаться. Я имею в виду, что баг, эксплойт, который был найден здесь, существовал,
00:07:19кажется, они сказали, 27 лет или около того. Это показывает, что ни один человек не смог найти
00:07:29этот баг за такой долгий период времени, включая злоумышленников, которые, конечно, были бы
00:07:35заинтересованы в возможности атаковать эту операционную систему и в прошлом. И это всего лишь одна,
00:07:41возможно, самая яркая находка этой новой модели. Они перечисляют гораздо больше багов и эксплойтов,
00:07:49которые модель обнаружила, а иногда и смогла использовать. Также они делились другими историями, например в X,
00:07:57о том, как модель смогла вырваться из «песочницы», или как ИИ-агент под управлением модели
00:08:04смог покинуть «песочницу», в которой он работал. И это возвращает нас к Project Glasswing —
00:08:11инициативе, созданной Anthropic совместно с другими крупными компаниями, такими как AWS, Apple, Microsoft,
00:08:21Linux Foundation и другие, чтобы использовать эту модель для исправления их софта до того,
00:08:30как она будет выпущена публично и до того, как публика получит к ней доступ. Такова легенда
00:08:38этой статьи, таково объяснение от Anthropic, и у меня здесь смешанные чувства. С одной стороны,
00:08:48у меня нет веских причин полагать, что это неправда. Очевидно, у Anthropic могли быть и другие причины
00:08:56не выпускать эту модель, помимо тех, что они упоминают. К примеру,
00:09:04я читал, что эта модель имеет примерно 10 триллионов параметров, что намного больше всех передовых моделей,
00:09:11которые у нас были до этого и которыми мы могли пользоваться публично. Говорят, что ее обучение стоило
00:09:20около 10 миллиардов долларов. Стоимость токенов этой модели, как я читал, ожидается в диапазоне
00:09:30от 25 до 125 долларов за входные и выходные токены. И это, конечно, тоже могло стать причиной
00:09:39невыпуска модели, потому что они не могут включить ее в свои подписки Claude — это слишком
00:09:46дорого. Им пришлось бы поднять цену подписки до такого уровня, который мало кто готов был бы
00:09:52платить, и поэтому не было бы реального способа предоставить ее публике, по крайней мере в составе Claude Code.
00:09:59Конечно, они все еще могли бы открыть доступ через API с оплатой по факту использования,
00:10:05и если это дорого — ну и что, если найдутся компании или люди, готовые платить. Они могли бы так сделать,
00:10:12и вот тут-то опасения по поводу кибербезопасности действительно могут вступить в игру, потому что,
00:10:18очевидно, всё это, скорее всего, не выдумка. Я имею в виду, это точно
00:10:26не выдумка. Команда FFmpeg, например, которая также упоминается в списке уязвимостей,
00:10:36подтвердила в X, что Anthropic действительно прислала им
00:10:44патч для уязвимости в программе FFmpeg. Так что да, это явно не
00:10:55выдумка. Эти опасения обоснованны, вопросы кибербезопасности актуальны. Особенно учитывая, что если деньги
00:11:03не являются главной проблемой, можно развернуть тысячи агентов, одновременно использующих эту или подобные
00:11:11модели, которые могут появиться в будущем, чтобы сканировать любой софт и эксплуатировать его. И, конечно,
00:11:19большая проблема в том, что использовать эту модель для поиска и исправления уязвимостей можно,
00:11:30но это под силу только владельцу или мейнтейнеру софта, который может себе позволить такую модель
00:11:37или получает доступ бесплатно. И даже если уязвимость исправлена, мы все знаем,
00:11:46что далеко не на всех компьютерах и машинах в мире стоит обновленное программное обеспечение.
00:11:55Если взглянуть на всевозможные серверы, работающие сейчас в глобальной сети,
00:12:04я бы предположил, что на подавляющем большинстве из них стоит устаревший софт. Я имею в виду, даже на телефонах
00:12:12или ноутбуках мы часто не используем новейшее ПО. Последняя версия ОС или
00:12:20свежий патч безопасности могут быть не установлены. И это верно для всех уровней софта. В мире,
00:12:28где находить уязвимости проще, чем когда-либо, это, конечно, становится еще
00:12:34большей проблемой. С другой стороны, хорошо то, что эту ИИ-модель также можно использовать для
00:12:43проактивного поиска уязвимостей и их исправления. То есть это не только инструмент для
00:12:48атакующих, это может упростить и защиту, так как теперь у вас есть инструмент, работающий
00:12:56параллельно на тысячах агентов, чтобы сделать ваш софт безопасным. В теории это может быть
00:13:01очень полезным инструментом для защиты. Но опять же, не каждая компания или человек, разрабатывающий
00:13:09важное ПО, сможет его себе позволить или захочет использовать. И даже если он используется
00:13:16для поиска и исправления багов, эти новейшие версии все равно не будут установлены повсеместно.
00:13:23И это, конечно, дает злоумышленникам отличное «окно возможностей», когда они знают о гораздо большем числе
00:13:31уязвимостей, чем раньше, потому что их стали выявлять массово, но не каждая
00:13:39машина и не каждый пользователь защищены от них. И это одна из реальных проблем,
00:13:46которые меня беспокоят в связи с этим развитием. Такова общая картина, которая затрагивает всех,
00:13:52все компании и всех людей в конечном итоге. Другой вопрос, конечно, в том,
00:13:59что подобная модель значит для нас, разработчиков? Очевидно, это высокопроизводительная модель, способная
00:14:08самостоятельно искать и эксплуатировать уязвимости. Каково же
00:14:16влияние на разработчиков? Я думаю, что здесь пока мало что меняется. То есть,
00:14:28мы уже живем в мире, где ИИ-агенты вроде Claude Code и лежащие в их основе модели (и,
00:14:34конечно, то же самое верно для Codex и прочих — какой бы ни был ваш любимый ИИ-агент и модель)
00:14:39способны генерировать большую часть нашего кода. Вы можете ими не пользоваться, они могут вам не нравиться,
00:14:46я даже записал отдельное видео, где поделился своими чувствами о том, что это лишает меня радости от
00:14:52самого процесса разработки, но такова реальность, нравится нам это или нет. И,
00:14:57поверьте, мне это не обязательно нравится. Но да, такова реальность. Тем не менее, ценность человека
00:15:04или то, почему люди все еще важны (и, возможно, важны как никогда), заключается в том, что вы
00:15:12определенно не хотите, чтобы такой ИИ-агент вышел из-под контроля и работал полностью сам по себе. Направление таких
00:15:21моделей и агентов, контроль над ними, постановка четких задач, ограничение объема их работы —
00:15:29все это сейчас важнее, чем когда-либо. Эти модели, как кажется, могут делать гораздо больше,
00:15:39чем подавляющее большинство разработчиков. Определенно намного больше, чем могу я.
00:15:43И все же, когда дело доходит до выпуска продуктов, когда дело доходит до создания софта для людей,
00:15:54влияние человека остается чрезвычайно важным. Что меняется,
00:16:01так это наша роль как программистов. Мы превращаемся из людей, пишущих код, в
00:16:08людей, которые управляют моделью, проверяют код, понимают,
00:16:12как он работает, и задают границы. И да, опять же, я говорил об этом в другом видео: как это меняется,
00:16:18и что это может быть не совсем то, что вам по душе. Это определенно не то,
00:16:26ради чего я когда-то пришел в программирование. Но таков эффект, и
00:16:31чем способнее становятся эти модели, тем важнее, я думаю, сохранять этот «человеческий голос»,
00:16:39человеческое влияние. Так что вот она — эта меняющаяся роль и
00:16:48наше место в будущем. Но да, это действительно интересные события, и особенно
00:16:58эта модель, её последствия и та значимость для кибербезопасности, которой она обладает.
00:17:04Заставляют задуматься: что случилось бы или что случится, если другие игроки, другие страны или
00:17:16организации в мире получат в свои руки эту модель или модели с аналогичными возможностями?
00:17:23Потому что, конечно, это лишь вопрос времени, когда модели с похожими способностями станут доступны
00:17:33широкой публике или, по крайней мере, другим странам и игрокам. И да, я не уверен,
00:17:44готовы ли мы к этой новой гонке в кибербезопасности. И эта задержка между обнаружением багов,
00:17:52выпуском патчей и тем, как люди их устанавливают... Думаю, мы вступаем в новую эру кибербезопасности.
00:18:00Мы сможем адаптироваться, я уверен, но это определенно знаменует собой поворотный
00:18:08момент в истории развития моделей, я бы сказал.