Публикаций: 30
Claude Fable 5 попал под экспортный контроль США из-за «джейлбрейка», которым оказался запрос «почини этот код». Исследователи безопасности говорят: именно так выглядит легальная защита инфраструктуры каждый день.
Белый дом опубликовал отчёт о «взломе» Claude Fable — но независимый эксперт по кибербезопасности, которого сам Anthropic попросил проверить выводы, пришла к противоположному заключению. Разбираемся, что на самом деле произошло и почему это важнее, чем кажется.
Чиновники администрации Трампа обвинили Anthropic в нарушении кибердирективы: компания выпустила новую модель без согласования с регуляторами. Правительство требует «невзламываемый» LLM — но это технически не достижимо.
Правительство США потребовало от Anthropic отключить глобальный доступ к моделям Fable 5 и Mythos 5, сославшись на риски джейлбрейка. Anthropic выполняет предписание, но публично оспаривает его логику — и предупреждает о последствиях для всей индустрии.
Google подал первый совместный иск с ФБР против китайской сети AI-мошенников. OpenAI параллельно заблокировал кластеры влияния, связанные с КНР. Две крупнейшие AI-компании в течение нескольких дней вскрыли операции, нацеленные на американскую инфраструктуру и политические дебаты.
Команда безопасности Anthropic выяснила: их модель Mythos Preview превращает публичный патч в рабочий эксплойт за несколько часов и за несколько тысяч долларов. Восемь цепочек атак были готовы раньше, чем Windows успел разослать автообновления хотя бы на одно устройство.
По данным The Decoder, Anthropic разместил около шести инженеров непосредственно в АНБ — они адаптируют модель Mythos для наступательных киберопераций против Китая и Ирана. Это первое публичное свидетельство того, что ведущий «безопасный» AI-вендор напрямую работает на разведку США.
Белый дом подписал указ: Пентагон и CISA должны за 30 дней усилить кибербезопасность с помощью ИИ, а разработчики моделей могут «добровольно» отдать их на правительственное тестирование. Слово «добровольно» здесь несёт двойную нагрузку.
Исследователи Университета Торонто продемонстрировали: для создания адаптивного сетевого червя не нужны дорогие закрытые модели — достаточно бесплатных open-weight. Стоимость атаки стремится к нулю, а под угрозой оказывается буквально каждое подключённое устройство.
Project Glasswing вырос до 150 партнёров в 15+ странах — и уже зафиксировал более 10 000 критических дыр в реальной инфраструктуре. Попутно Anthropic монетизирует обе стороны уравнения.
Claude Mythos Preview в рамках Project Glasswing обнаружил более 10 000 критических уязвимостей в системном ПО — быстрее, чем команды безопасности успевают их закрыть. Anthropic открыто признала: ни одна компания, включая её саму, не выстроила достаточных защитных механизмов.
US Cyber Command создал специальную task force для развёртывания AI-моделей OpenAI, Google и других на самых засекреченных сетях Пентагона и АНБ. Причина — Anthropic публично признала: их модели уже находят уязвимости быстрее лучших живых специалистов.
УЦСБ SOC опубликовал годовой отчёт по угрозам на основе реальных инцидентов — не теории, а разбор того, что уже случилось. Шифрование, кража, слив данных и атаки через подрядчиков стали нормой, а не исключением.
ИИ-агент стартапа Depthfirst обнаружил критическую уязвимость в NGINX, которая скрывалась в коде 18 лет. От публикации патча до первых реальных атак прошло лишь несколько дней — а потенциально уязвимых серверов в сети около 5,7 млн.
11 мая группировка TeamPCP через отравленный релизный конвейер TanStack скомпрометировала два устройства сотрудников OpenAI — и подписала вредоносный коммит именем Claude. Пострадало более 160 пакетов, включая клиенты Mistral AI и инструменты UiPath.
Братьев-близнецов уволили по видеосвязи — через восемь минут они уже выполняли DROP DATABASE в системах Министерства внутренней безопасности США. Teams-запись работала всё это время.
Автономный ИИ-агент стартапа depthfirst вскрыл критическую уязвимость CVE-2026-42945 (CVSS 9.2) в NGINX — баг прятался в коде с 2008 года и позволяет удалённо выполнять произвольный код. Одного клика и шести часов машинного анализа хватило там, где полтора десятилетия человеческих ревью не хватало.
Британский AI Security Institute зафиксировал первое в своей практике: внутренний чекпоинт Claude Mythos Preview прошёл симулятор атаки на промышленную систему управления электростанции в 3 из 10 попыток. Ни предыдущая версия Mythos, ни GPT-5.5 этого не сделали ни разу.
ГК «Солар» выпустила Solar webProxy 4.5 с глубокой инспекцией архивов: SWG-система распаковывает вложенные контейнеры 16 форматов прямо в потоке трафика и блокирует архивы с паролем — вектор, который годами проходил периметр невидимым.
Исследователи из трёх британских университетов проанализировали почти 100 000 обсуждений на форумах киберпреступников — и обнаружили то, чего мало кто ожидал: хакеры злятся на AI-контент ровно по тем же причинам, что и обычные пользователи.
В мае 2026 года на испанской Мальорке задержан 35-летний гражданин Германии — администратор перезапущенной версии Crimenetwork, крупнейшего криминального маркетплейса страны. За несколько месяцев работы он заработал более €3,6 млн, а площадка успела набрать 22 тыс. пользователей — несмотря на то что оригинальная сеть была ликвидирована в конце 2024 года.
Лаборатория Palisade Research дала современным ИИ-агентам один промпт — взломать сервер и перенести туда собственные веса. Claude Opus 4.6 справился в 81% попыток; год назад аналогичные модели тех же компаний показывали 6% и 0%.
Хакерская группировка ShinyHunters атаковала технологического поставщика Zara и опубликовала 140 ГБ данных. В утечке — адреса электронной почты, геолокация, история покупок и обращения в поддержку 197 тысяч клиентов.
Positive Technologies зафиксировала 808 уникальных образцов вредоносного ПО за первый квартал 2026 года — рост 38% год к году. Среди новых техник — зловред, написанный с помощью ИИ, и GitHub Gist в роли командного сервера.
Российские суды трёх инстанций поддержали Timeweb в споре с клиентом, потерявшим данные и деньги из-за DDoS-атаки. Прецедент объясняет, почему базовый хостинг — это не защита, и что бизнес должен прописывать в договоре.
Инженер из команды кибербезопасности Platform V в СберТехе выложил детальный разбор мультиагентной системы для поиска утечек секретов в репозиториях — и она уже работает в production. Главный вывод: один агент с широкой задачей — генератор непредсказуемых результатов, труппа из четырёх с жёсткими контрактами — инженерный инструмент.
Большинство успешных атак на корпоративную инфраструктуру начинается одинаково — с украденного или подобранного пароля. МУЛЬТИФАКТОР проводит вебинар о том, как закрыть эту дыру и уйти с Microsoft Active Directory без боли.
Anthropic выпустила Mythos с редким по откровенности предупреждением: модель опасна из-за хакерских способностей. Три независимых разбора — от британского AI Security Institute, блогера Дрю Брюнинга и компании Aisle — дают куда менее однозначную картину, чем сам Anthropic.
Аналитики F6 раскрыли инфраструктуру инфостилера WeedHack, который распространяется через TikTok под видом модов для Minecraft и похищает пароли браузеров, токены Discord и криптовалютные кошельки. CERT F6 добился блокировки 14 доменов в зоне .ru, задействованных в схеме.
Кабинет министров КР утвердил единый перечень требований по защите критических информационных систем — документ затрагивает и госорганы, и частный бизнес. Для компаний, работающих с государственными данными или ключевыми системами, это уже не рекомендация.