Claude Mythos виявляє CVE-2026-5194 серед понад 10 000 вразливостей

Claude Mythos виявляє CVE-2026-5194 серед понад 10 000 вразливостей

Проєкт Anthropic Glasswing дав вражаючий результат: модель ШІ Claude Mythos виявила понад 10 000 вразливостей високого чи критичного рівня серйозності у великих програмних інфраструктурах за один місяць. Серед цих знахідок – CVE-2026-5194, критична вразливість у широко використовуваній криптографічній бібліотеці wolfSSL, яка може дозволити зловмисникам підробляти сертифікати та видавати себе за легітимні служби. Для кожного, хто покладається на VPN або зашифровані застосунки, це відкриття промовисто свідчить: вразливості VPN-криптографії, виявлені ШІ, більше не є теоретичною загрозою. Вони з'являються швидше, ніж більшість циклів виправлень встигають за ними.

Що CVE-2026-5194 у wolfSSL означає для користувачів VPN та зашифрованих сервісів

wolfSSL – це легка бібліотека TLS і SSL, що використовується у вбудованих системах, пристроях IoT, а також у низці реалізацій VPN і критично важливих для безпеки застосунках. Її компактність робить її привабливою для середовищ з обмеженими ресурсами, а це означає, що вона часто працює там, де перевірка безпеки мінімальна, а цикли оновлення повільні.

Уразливість, позначена як CVE-2026-5194, особливо серйозна, оскільки вона націлена на перевірку сертифікатів – механізм, який підтверджує, що сервер є тим, за кого себе видає. Коли цей процес можна підірвати, зловмисник може здійснити атаку «людина посередині»: перехоплювати зашифрований трафік, представляючи підроблений сертифікат, який клієнт приймає як легітимний. Для користувачів VPN це не дрібна незручність. Скомпрометований ланцюжок сертифікатів означає, що ваш зашифрований тунель може завершуватися на сервері, контрольованому зловмисником, а не на передбачуваній кінцевій точці, і все, що ви надсилаєте, буде видно у відкритому вигляді на іншому боці.

Серйозність посилюється характером розгортання wolfSSL. Бібліотеки, вбудовані у прошивки або застарілі мережеві пристрої, рідко отримують таку саму увагу, як програмне забезпечення для кінцевих користувачів. Виправлення можуть випускатися, але до пристроїв у реальних умовах вони доходять місяцями чи роками.

Як Claude Mythos знайшов понад 10 000 критичних вад за один місяць

Project Glasswing – це просування Anthropic у сферу дослідження вразливостей за допомогою ШІ. Модель Claude Mythos, розроблена для глибокого технічного міркування, використовувалася для систематичного аналізу програмних інфраструктур у масштабах і зі швидкістю, які не під силу жодній команді людей. Результат – понад 10 000 вразливостей високого чи критичного рівня серйозності за 30 днів – це не просто велике число. Це свідчить про фундаментальний зсув у тому, як швидко можна картографувати поверхню атаки інтернет-інфраструктури.

Традиційне виявлення вразливостей спирається на ручний огляд коду, інструменти фаззінгу та дослідників безпеки, які опрацьовують кодові бази компонент за компонентом. Аналіз за допомогою ШІ може працювати одночасно з кількома кодовими базами, виявляти тонкі логічні помилки, які пропускають автоматизовані сканери, та корелювати знахідки в залежностях. Виявлення wolfSSL – гарний приклад: помилки перевірки сертифікатів часто вимагають розуміння складних ланцюжків логіки в багатьох функціях, саме того типу міркувань, де великі мовні моделі зі здатністю розуміти код можуть додати цінності.

Наслідки подвійні. Якщо модель Anthropic може знайти ці вразливості, це можуть зробити й інструменти ШІ, якими керують зловмисники. Перегони між захисниками та атакуючими щойно прискорилися. Варто зазначити, що сама Anthropic посилює контроль доступу до своєї платформи ШІ; нещодавно компанія запровадила вимоги підтвердження особи для певних користувачів Claude, що відображає ширшу напругу між відкритістю та безпекою в розгортанні ШІ, про що йдеться в впровадженні Anthropic перевірки особи за справжнім ім’ям для користувачів Claude.

Чому безпека VPN залежить від криптографічних бібліотек без вразливостей

VPN часто описують як інструмент для приватності та безпеки, але їхня реальна гарантія безпеки настільки сильна, наскільки сильні криптографічні бібліотеки, що лежать в їх основі. Клієнт VPN може реалізовувати пряму таємницю, використовувати шифрування AES-256 і дотримуватися політики нульового логування, але якщо бібліотека TLS, яка обробляє перевірку сертифікатів, містить вразливість підробки, все це підривається на етапі рукостискання.

Це проблема залежностей у безпеці програмного забезпечення. Жоден застосунок не є островом. Кожен VPN-клієнт, кожен зашифрований месенджер, кожен сервер з підтримкою HTTPS покладається на сторонні бібліотеки для криптографічних операцій. wolfSSL, OpenSSL, BoringSSL, mbedTLS – кожна з них мала значні вразливості у своїй історії. Heartbleed, який вразив OpenSSL у 2014 році, досі є найвідомішим прикладом, але це не був ізольований інцидент.

Результати Project Glasswing свідчать про те, що обсяг невиявлених вразливостей, які ховаються всередині цих фундаментальних бібліотек, може бути набагато більшим, ніж раніше припускала спільнота безпеки. Десять тисяч критичних вад за один місяць огляду за допомогою ШІ вказує на накопичення проблем, які не виявлялися ручними процесами перевірки.

Що робити користувачам і постачальникам VPN, поки виходять виправлення

Для окремих користувачів найбільш практичний крок – обрати VPN-провайдера, який публічно зобов'язується проводити регулярні сторонні аудити безпеки та прозоро повідомляє, які криптографічні бібліотеки використовує його програмне забезпечення і як швидко застосовуються виправлення. Провайдери, які публікують результати аудиту, підтримують чітку політику розкриття вразливостей і повідомляють про оновлення бібліотек, об'єктивно перебувають у кращому становищі, ніж ті, хто цього не робить.

Для VPN-провайдерів і команд корпоративної безпеки пріоритети на найближчий час такі: перевірити свій перелік компонентів програмного забезпечення (SBOM) на наявність залежностей від wolfSSL, відстежувати інформацію про CVE-2026-5194 щодо доступності виправлень і пріоритизувати розгортання на компонентах, які виходять в інтернет або обробляють сертифікати. Якщо ваш продукт використовує wolfSSL у прошивці чи вбудованих компонентах, графік оновлення слід пришвидшити.

Ширше, результати Claude Mythos є сигналом, що пошук вразливостей за допомогою ШІ стане стандартною частиною інструментарію дослідників безпеки. Провайдери, які ще не використовують автоматизований аналіз для перевірки власних кодових баз і залежностей, відставатимуть як від захисників, які використовують ці інструменти, так і – що критично – від атакуючих, які не чекають.

Що це означає для вас

Виявлення CVE-2026-5194 є конкретним нагадуванням, що інструменти приватності побудовані на шарах програмного забезпечення, і найслабший шар визначає вашу реальну безпеку. Вразливість підробки сертифікатів у криптографічній бібліотеці – це не абстрактна загроза: це тип вади, який уможливлює стеження та крадіжку облікових даних у користувачів, які вірять, що вони захищені.

Практичний висновок такий: запитайте свого VPN-провайдера, які бібліотеки він використовує, коли востаннє проходив сторонній аудит безпеки та як обробляє критичні оновлення бібліотек. Прозорість щодо цих питань – один із найнадійніших сигналів реального рівня безпеки провайдера. У міру того як інструменти ШІ прискорюють як виявлення, так і використання вразливостей, ця прозорість має значення як ніколи.