Anthropic попала в заголовки прессы, заявив, что Claude Mythos создал «первый удалённый эксплойт ядра, обнаруженный и использованный ИИ». Мы решили разобраться, как это произошло, и обнаружили 20-летний баг, скрывавшийся на виду.

Что нашёл Claude?

В своём первом посте о Claude Mythos компания Anthropic сообщила, что модель обнаружила и использовала несколько уязвимостей. Наиболее подробно описана CVE-2026-4747 — уязвимость удалённого исполнения кода в сетевой файловой системе FreeBSD. Такие системы применяются в тысячах решений для хранения данных в корпоративной и научной среде.

Этот эксплойт — впечатляющее инженерное достижение. Однако нас больше интересовало, как ИИ вообще нашёл уязвимость. В описании говорится, что она «как из учебника»: классическое переполнение стека, усугублённое отсутствием в FreeBSD стандартных защит (KASLR, Stack Canaries).

В файле sys/rpc/rpcsec_gss/svc_rpcsec_gss.c функция svc_rpc_gss_validate() копирует заголовок RPC в 128-байтный стековый буфер rpchdr[]. Сначала записываются 32 байта фиксированных данных, затем — тело credentials длиной oa_length байт. При этом не проверяется, уместится ли оно в оставшиеся 96 байт.

Если oa_length превышает 96, происходит переполнение стека. Патч добавляет простую проверку границ перед копированием.

На первый взгляд — пугающая находка. Сколько ещё таких глубоких багов скрыто в коде ядра?

Однако заявление о «первом эксплойте ядра, обнаруженном ИИ» может быть правдой, но не всей правдой.

Истоки уязвимого кода

Уязвимый код восходит к ONC RPC от Sun Microsystems и её NFS, разработанным в 1984 году. В 1995 году Sun передала стандарт IETF, который в 1997 году опубликовал протокол RPCSEC_GSS (RFC 2203).

Реализацию ядерных компонентов для NFSv4 и RPCSEC_GSS финансировал и разрабатывал Center for Information Technology Integration (CITI) Мичиганского университета. Его код лег в основу реализаций в MIT Kerberos и, позже, в FreeBSD.

Копипаста из прошлого

FreeBSD хранит ядро, драйверы и системные утилиты в едином репозитории. В нём — почти идентичная копия кода из реализации MIT Kerberos. Это наводит на мысль: если уязвимость есть в FreeBSD, не затронута ли та же строка кода в MIT?

Ответ — да. Речь о CVE-2007-3999.

Стековое переполнение в функции svcauth_gss_validate файла lib/rpc/svc_auth_gss.c библиотеки RPCSEC_GSS в MIT Kerberos 5 (krb5) версий с 1.4 по 1.6.2. Уязвимость позволяет вызвать отказ в обслуживании и, вероятно, исполнение произвольного кода через длинную строку в RPC-сообщении.

Эта CVE была исправлена в 2007 году.

Один баг — два века

Сравнение уязвимого кода MIT 2007 года и FreeBSD 2026 года показывает почти полную идентичность. Патч, применённый в FreeBSD, практически копирует исправление MIT.

Может ли ИИ находить принципиально новые уязвимости? Возможно. Но в случае CVE-2026-4747 речь идёт скорее о комбинаторной креативности: модель «обнаружила» уязвимость, уже присутствовавшую в её обучающих данных.

Подобные «повторные открытия» уже обсуждаются в математике и науке. Теперь их пора обсуждать и в кибербезопасности. Где проходит грань между новым открытием и воспроизведением? И важна ли она?

Подведём итог

Чтобы оценить реальную угрозу ИИ, нужно отделить хайп от сути.

Реальная угроза: повторно использованный код

Уязвимость в FreeBSD — результат человеческой небрежности начала 2000-х. Сегодня такие ошибки копируются в новые системы с огромной скоростью. LLM, обученные на старом коде, воспроизводят те же небезопасные паттерны.

ИИ как суперпоисковик уязвимостей

Современным моделям не нужно быть творческими, чтобы нанести ущерб. Достаточно быть мощными детекторами паттернов, находящими и использующими легаси-баги, внедрённые другими ИИ.

Агентская защита — преимущество в скорости

Не важно, «уникален» ли эксплойт. Важен ущерб. ИИ резко удешевляет атаки.

Но патчинг может оставаться дешевле и быстрее. Победят те, кто начнёт использовать агентов для защиты раньше, чем злоумышленники — для атак.

Примечание: кто на самом деле что сделал?

Произошла путаница между двумя историями. CVE-2026-4747 была обнаружена Николасом Карлини с использованием Claude, но не публичной версии. Речь о Mythos Preview от Anthropic.

Исследователи из Calif, не имея доступа к Mythos, использовали публичную модель Claude и ручной промптинг, чтобы воссоздать эксплойт. Они опубликовали свои результаты раньше, чем Anthropic, что вызвало недопонимание.

Репозиторий с описанием эксплойта принадлежит Calif, а не Anthropic. Это не официальная статья последней. Однако Mythos действительно автономно нашёл уязвимость и создал эксплойт — даже если она была известна 20 лет назад.

Anthropic попала в заголовки прессы, заявив, что Claude Mythos создала «первый удалённый эксплойт ядра, обнаруженный и использованный ИИ». Мы решили изучить, как ей это удалось, и нашли 20-летний баг, скрывавшийся на ровном месте.

Давайте разберёмся, что, по нашему мнению, сделала Mythos, и что это означает для кибербезопасности.

Что нашёл Claude?

В первомпостеAnthropic о Claude Mythos компания рассказывает о множестве различных уязвимостей, которые смогла обнаружить и использовать Mythos. Уязвимость, о которой нам известно больше всего (включая CVE и полное техническое описание) — это CVE-2026-4747: возможность удалённого исполнения кода в сетевой файловой системе FreeBSD. Эти сетевые файловые системы применяются в тысячах систем сетевого хранения данных в корпоративных и научных исследовательских центрах.

Хоть этот эксплойт и стал свидетельством впечатляющего инженерного достижения, никого из следящих за развитием ИИ не удивит способность агентской обвязки писать код; лично нам было любопытнее было понять, как ИИ вообще обнаружил уязвимость. Встатьеоб уязвимости говорится что она «как из учебника» — классическое переполнение стека, ещё более упрощённое благодаря тому, что во FreeBSD не скомпилированы стандартные мер защиты (KASLR/Stack Canaries):

Вsys/rpc/rpcsec_gss/svc_rpcsec_gss.cфункцияsvc_rpc_gss_validate()воссоздаёт заголовок RPC в128-байтный буфер в стеке(rpchdr[]) для верификации сигнатуры GSS-API. Сначала она записывает 32 байта фиксированных полей заголовка RPC, а затем копирует всё тело credentials RPCSEC_GSS (oa_lengthбайт) в оставшееся пространство,не проверяя, умещается ли тудаoa_length.

Под тело credentials в буфере есть всего128 - 32 = 96 байт. Любые credentials больше 96 байт переполнят буфер в стеке.

Исправление (14.4-RELEASE-p1)

Патч добавляет одну проверку границ перед копированием:

Ого! Пугающая находка: кто знает, сколько ещё в коде глубоких багов ядра, которые не заметил ни один человек?

Что ж, как оказалось, заявление о «первом эксплойте ядра, обнаруженном ИИ»,может бытьправдой, но этосовершенно точноне вся история.

Немного истории: что такое svc_rpc_gss_validate?

Уязвимый код корнями уходит в систему Open Network Computing Remote Procedure Call (ONC RPC) Sun Microsystem и её Network File System (NFS), разработанную в 1984 году и выпущенную в 1985 году.

Когда сети из небольших доверенных окружений превратились в 90-х в огромные системы, стандартом де-факто стали протоколы NFS и RPC компании Sun. В апреле 1995 года Sun передала контроль над ONC RPC организации IETF, чтобы она поддерживалась как открытый стандарт (RFC 1790).

Для развития этого стандарта IETFорганизовала рабочую группу, которая опубликовала в 1997 году протокол RPCSEC_GSS (RFC 2203). Основную часть опенсорсной работы по реализации NFSv4, RPCSEC_GSS и соответствующих необходимых компонентов уровня ядра финансировал и разрабатывал Center for Information Technology Integration (CITI) Мичиганского университета.

Мичиганский университет по-прежнему упоминается в заголовках созданной Массачусетским технологическим институтом (MIT) реализации Kerberos (подобные уведомления живые разработчики привыкли видеть, но не замечать), а также в почти идентичных файлах, скопированных в реализацию FreeBSD.

Постойте-ка, «скопированных»?

FreeBSD хранит всю базовую операционную систему — ядро, драйверы и необходимые системные утилиты — в одном огромном едином репозитории. В него входит и функциональность RPCSEC_GSS, которая практически идентична кодуKerberosMIT и используется почти в каждом дистрибутиве Linux для реализации безопасных операций с NFS.

То есть следует ожидать, что CVE Mythos относится и к реализации MIT? Возможно, мы столкнулись с ещё более серьёзной проблемой?

Прошу любить и жаловать — старая добрая CVE-2007-3999! В NVD NIST эта уязвимость описывается следующим образом:

стековое переполнение буфера в функцииsvcauth_gss_validateфайлаlib/rpc/svc_auth_gss.cбиблиотекиRPCSEC_GSS RPC(librpcsecgss) в MIT Kerberos 5 (krb5) версий с 1.4 по 1.6.2, используемых административным демоном Kerberos (kadmind), а также некоторыми сторонними приложениями, пользующимися krb5; позволяет нападающим вызвать отказ в обслуживании (вылет демона) и, вероятно, исполнение произвольного кода при помощи длинной строки в сообщении RPC.

Эта CVE была пропатчена в 2007 году. Но что-то в этом описании кажется ужасно знакомым…

Причина в CVE-2007-3999!

Последнейуязвимой версией Kerberosбыла 1.16.2. Сравнение уязвимой функции из 2007 года (вероятно, обучающие данные Claude) соткрытием Mythosговорит само за себя:

Уязвимый Kerberos, 2007 год

Уязвимая FreeBSD, 2026 год

Патч Kerberos эпохи Джорджа Бушатоже почти идентичен тому, который реализовала в прошлом месяце FreeBSD после открытия, совершённого Mythos:

Так может ли ИИ обнаруживать совершенно новые уязвимости, требующие творческого подхода? Может быть. Но в случае CVE-2026-4747 само нахождение уязвимости больше похоже на пример комбинаторной креативности: ИИ совершил открытие, уже находящееся в его обучающих данных.

Сейчас всё шире обсуждают подобные «повторные открытия» ИИ, сделанные в математике и других науках; настало время обсудить их и в сфере кибербезопасности. Каковы границы по-настоящему новых открытий ИИ и есть ли они вообще? Так ли важна эта разница?

Подведём итог

Чтобы понять истинную угрозу ИИ в кибербезопасности, нужно отделить научно-фантастический хайп от реальности истинного способа работы таких моделей.

Реальная угроза: повторно использованный код

CVE FreeBSD была вызвана человеческой небрежностью, проявленной в начале 2000-х.

Но сегодня, в 2026 году, ошибки, которым уже десятки лет, добавляются напрямую в наши системы с огромной скоростью. LLM в процессе конфигурирования наших окружений и написания нового кода изрыгают те же самые небезопасные паттерны, на которых они обучались.

ИИ найдёт эти изъяны и воспользуется ими

Современным моделям не нужно быть особо творческими для того, чтобы разорить компанию или вывести из строя энергосеть. Им достаточно работать мощными ищейками паттернов, находящими и использующими легаси-баги, которые более слабые ИИ-модели беззаботно скопипастили в окружение.

Агентская защита — необходимое преимущество

В конечном итоге не важно, «уникален» ли эксплойт, или это просто запомненные обучающие данные. Важен тот ущерб, который он может нанести при своём использовании, а ИИ сильно удешевил применение эксплойтов.

Однако патчинг по-прежнему может быть дешевле и быстрее, чем нападение. Вперёд вырвутся организации, которые начнут применять способности агентов раньше, чем злоумышленники.

Примечание

Пользователь Redditзаметилв статье существенную ошибку. В ней упоминается постhttps://github.com/califio/publications/blob/main/MADBugs/CVE-2026-4747/write-up.md

Это репозиторий GitHub, принадлежащий фирме Calif, занимающейся кибербезопасностью (её блог:https://blog.calif.io). Это не Anthropic и у неё не было доступа к Mythos Preview. Это не статья Anthropic, произошла ошибка.

Вот полезная для понимания хронология:

26 марта: выпущена CVE FreeBSD за авторством «Николаса Карлини Nicholas с использованием Claude, Anthropic» (стоит отметить, что Карлини как обычно не указал в своём отчёте модель Claude)https://www.freebsd.org/security/advisories/FreeBSD-SA-26:08.rpcsec_gss.asc29 марта: исследователи безопасности Calif при помощи отчёта о CVE и кучи полезного промптинга заставили публично доступную модель Claude (конкретная модель тоже не указывается) создать эксплойт.31 марта: Calif публикует свои результаты (https://blog.calif.io/p/mad-bugs-claude-wrote-a-full-freebsd)7 апреля: Карлини сообщает, что CVE FreeBSD была обнаружена при помощи новой модели Anthropic Mythos Preview и что она мгновенно (и автономно) создала эксплойт (https://red.anthropic.com/2026/mythos-preview/)

Результаты Calif вызвали оживлённое обсуждение, но из-за того, что для создания эксплойта потребовался большой объём промптинга со стороны человека, возник скептицизм относительно его важности. В этой истории интереснее именно то, что Mythos Preview может автономно пройти путь от нахождения уязвимости (которая, как мы выяснили из этой статьи, по сути, идентична устранённой ранее в Kerberos) до создания эксплойта (и разумеется, это произошло раньше, чем у Calif, однако Calif опубликовала свою статью раньше).

К сожалению, из-за близости этих двух историй читатели начали путать эксплойты Calif и Anthropic, а также репозиторий Calif со статьёй Anthropic.