ИИ научился взламывать браузеры: Claude Mythos против GPT-5.5

Когда ИИ перестал просто «находить» уязвимости

Ещё год назад главным вопросом безопасников было: «Может ли ИИ обнаружить баг?» Теперь вопрос звучит принципиально иначе — «Может ли ИИ превратить баг в работающее оружие?» Новый бенчмарк ExploitBench от Carnegie Mellon University даёт тревожно чёткий ответ: да, и некоторые модели делают это на уровне опытного человека-исследователя.

В мае 2026 года команда из CMU опубликовала результаты масштабного эксперимента, который принципиально отличается от всего, что было до него. Предыдущие тесты проверяли, может ли модель «триггернуть» уязвимость. ExploitBench идёт дальше — он оценивает прогресс по пяти уровням, вплоть до arbitrary code execution: полного выполнения произвольного кода на целевой системе. Объект атаки — движок V8, который лежит в основе Chrome, Edge, Node.js и Cloudflare Workers. То есть атакуем не абстрактный sandbox, а реальную инфраструктуру половины интернета.

Mythos: компетентный исследователь безопасности в коробке

Claude Mythos Preview от Anthropic занял первое место с результатом 9,90 из 16 баллов в режиме с подсказками и 9,55 баллов в полностью автономном режиме — практически без просадки. Достиг высшего уровня (полное выполнение кода) на 21 из 41 уязвимости. GPT-5.5 от OpenAI — далеко позади: 5,51 балла в режиме с подсказками и лишь 4,30 автономно, высший уровень — только на двух уязвимостях.

Соавтор ExploitBench Сынхён Ли — сам опытный исследователь с более чем 20 задокументированными уязвимостями в браузерах — лично изучил транскрипты работы Mythos. Его вывод: модель ведёт себя как «достаточно компетентный исследователь безопасности браузеров и JS-движков». Но дьявол в деталях: в одном из случаев Mythos разработал технику эксплойта, которую сам Ли и его коллеги ранее отвергли как слишком сложную. В другом — воспроизвёл уязвимость CVE-2024-0519, с которой человеческие исследователи не могли справиться больше года.

Параллельно исследовательская группа из UC Berkeley, Max Planck Institute и ряда других университетов опубликовала смежный бенчмарк — ExploitGym, охватывающий уже 898 реальных уязвимостей в приложениях, V8 и ядре Linux. Здесь Mythos Preview успешно проэксплуатировал 157 тест-кейсов, GPT-5.5 — 120. Причём агенты временами «выходили за скрипт»: в CTF-сценариях они находили и эксплуатировали уязвимости, на которые их никто не направлял.

Цена вопроса: $36 тысяч против $3 тысяч

Главная ахиллесова пята Mythos — стоимость. Полный прогон теста по 122 эпизодам обошёлся в $36 428. GPT-5.5 прошёл 123 эпизода за $3 075 — разница в 12 раз. Это не просто цифры для финансового директора: такой разрыв означает, что OpenAI потенциально может закрыть разрыв в производительности, просто увеличив compute-бюджет. Британский AI Safety Institute это косвенно подтверждает: в его независимых тестах GPT-5.5 показал 71,4% на сложнейшем уровне задач, Mythos — 68,6%. То есть по одним метрикам GPT-5.5 уже обгоняет.

Kомпания XBOW, получившая ранний доступ к GPT-5.5 для пентест-задач, зафиксировала впечатляющую динамику по показателю miss rate (доля пропущенных уязвимостей): GPT-5 пропускал 40%, Claude Opus 4.6 — 18%, GPT-5.5 — уже только 10%. Это прикладная метрика, которая напрямую переводится в деньги для бизнеса.

AISI: атака на корпоративную сеть за 20 часов — теперь реальность

Британский AI Security Institute протестировал Mythos на симуляции корпоративной атаки «The Last Ones» из 32 шагов — от разведки до полного захвата сети через Active Directory, CI/CD-пайплайн и эксфильтрацию базы данных. Mythos завершил атаку в 3 из 10 попыток, GPT-5.5 — в 2 из 10. Человеку-эксперту эта же цепочка заняла бы около 20 часов.

Особо впечатляет результат GPT-5.5 на задаче по реверс-инжинирингу: модель решила задачу, требующую восстановления инструкций кастомной виртуальной машины и написания дизассемблера с нуля, за 10 минут 22 секунды при затратах $1,73. Человек с профессиональными инструментами потратил 12 часов.

Что это значит на практике

Мне важно подчеркнуть контекст: все протестированные уязвимости были публично известны, и модели теоретически могли опираться на обучающие данные. Бенчмарк пока не измеряет способность находить принципиально новые баги или полностью «вооружать» эксплойт для реальных атак в защищённых средах. Тесты AISI проводились без активных средств защиты, минимального мониторинга и без sandbox-изоляции браузера.

Тем не менее, тренд очевиден и необратим. AISI оценивает, что киберспособности фронтирных моделей удваиваются каждые четыре месяца. Time-to-exploit упал с 2,3 лет в 2018 году до примерно 20 часов в 2026-м. Каждый патч теперь — это сигнал для атакующих, где искать. ИИ ускоряет patch-diffing, превращая обновления безопасности в готовые инструкции для эксплуатации.

Для российских разработчиков и безопасников: ExploitBench доступен на GitHub, бумага — на arXiv. Доступ к самому Mythos по-прежнему жёстко ограничен Anthropic и без VPN из РФ недоступен. GPT-5.5 через Codex CLI технически доступен через API при наличии аккаунта OpenAI, хотя стандартные ограничения для российских карт никуда не делись.

Мicrosoft, к слову, тоже не стоит в стороне: их мультимодельная агентная система MDASH уже обнаружила 16 CVE в рамках Patch Tuesday и лидирует в бенчмарке CyberGym — ещё одно подтверждение того, что гонка кибервооружений на основе ИИ идёт сразу на нескольких фронтах.

Информация подтверждена несколькими независимыми публикациями, включая данные академических исследований и правительственных оценок безопасности.