Mythos ИИ банки: 16-летний баг, который нашёл алгоритм, а не человек
Критическая уязвимость в библиотеке FFmpeg существовала 16 лет. Тысячи разработчиков проходили мимо. Десятки аудитов не заметили. Тема Mythos ИИ банки взорвалась после того, как ИИ-модель от Anthropic обнаружила эту ошибку за считанные минуты. По данным Crypto Headlines, в ходе тестирования модель выявила тысячи критических уязвимостей в банковских системах. И это, по-моему, только начало разговора, который финансовый сектор откладывал слишком долго.
Регуляторы США, Канады и Великобритании уже провели серию закрытых встреч с банковским сектором. Детали публично не раскрывались. Сам факт молчания, кажется, говорит громче любого пресс-релиза.
Почему банковские системы оказались уязвимы перед Mythos
Вот где собака зарыта. Большинство крупных банков работают на так называемых гибридных системах. Поверх устаревшего программного обеспечения, которому десятки лет, надстраиваются современные API и интерфейсы. Это не технический долг в абстрактном смысле. Это конкретные стыки между старым и новым кодом, где возникают щели.
Классический пентестер тратит недели, чтобы вручную пройти по точкам соприкосновения двух архитектурных эпох. Mythos автоматически сканирует зависимости, строит граф уязвимостей, расставляет приоритеты по глубине доступа. Скорость несопоставима.
Ещё одна деталь. Банки используют одних и тех же вендоров: одно процессинговое ПО, одни библиотеки, одни решения для межбанковских переводов. Если Mythos находит эксплойт в продукте вендора X, этот эксплойт присутствует у всех клиентов вендора X. Не у одного банка, а у десятков. Одновременно. По данным Crypto Headlines, масштабируемость найденных уязвимостей оказалась одной из главных причин для тревоги регуляторов.
Схема масштабирования ИИ-атаки: один эксплойт → один вендор → десятки банков-клиентов → сотни миллио
| Параметр | Классический пентест | ИИ-модель (Mythos) |
|---|---|---|
| Время поиска уязвимости | Недели, иногда месяцы | Минуты, часы |
| Охват кодовой базы | Выборочный, по приоритетам | Полный, без фильтрации по «важности» |
| Обнаружение стыков старого/нового кода | Зависит от опыта специалиста | Автоматическое построение графа зависимостей |
| Масштабирование на схожие инфраструктуры | Ручное, поштучно | Мгновенное при общем вендоре |
| Использование известных сигнатур | Да, как основной метод | Генерация новых эксплойтов под конкретную цель |
FFmpeg: баг, на который 16 лет никто не обращал внимания
FFmpeg используется повсеместно для обработки аудио и видео. Банковский сектор не исключение. Но именно потому, что библиотека воспринималась как «вспомогательный» компонент, никто не проводил её глубокий аудит в контексте финансовой безопасности.
Тут нюанс. Алгоритм Mythos не разделяет код на критичный и второстепенный. Он проверяет всё, включая зависимости, которые люди привыкли считать безобидными. Критическая ошибка в FFmpeg просуществовала около 16 лет именно потому, что человеческий аудит направлял внимание туда, где ожидал найти проблемы. Не туда, где проблемы реально были.
Меня удивляет другое: фактически безопасность части банковских систем держалась на принципе «никто не будет здесь копать». Это не защита. Это надежда. И Mythos её обнулил.
Для тех, кто хранит средства на стыке традиционной банковской инфраструктуры и крипто-экосистемы, ситуация вдвойне тревожная. Каждая из двух систем несёт собственные риски, а их комбинация создаёт дополнительные. Если вы задумываетесь об изоляции активов, разбор холодного хранения UNX и SEE через Ledger, Trezor и Tangem даёт практические ориентиры.
JPMorgan тестирует Mythos на собственной инфраструктуре
А теперь к сути. По данным Crypto Headlines, крупнейшие финансовые конгломераты, включая JPMorgan Chase, получили закрытый доступ к Mythos для тестирования собственных систем. Логика прямая: лучше обнаружить дыру самому, чем прочитать о ней в заголовках после взлома.
На моей памяти, регуляторы трёх стран редко координируются настолько тихо. Закрытые встречи, отсутствие публичных заявлений. Это классический формат кризисного управления информацией: проблема признаётся внутри, но наружу выносится минимум, чтобы не спровоцировать панику вкладчиков.
При этом классические средства защиты, WAF и системы обнаружения вторжений, не рассчитаны на то, что делает Mythos. Они работают с известными паттернами атак. Mythos генерирует новые эксплойты под конкретную инфраструктуру. Единственный ответ: такой же ИИ, но развёрнутый в режиме обороны. Именно это JPMorgan и тестирует.
Двойное назначение: проблема, которая не решается запретами
Кстати. Принцип двойного использования в кибербезопасности известен давно. Те же знания, что позволяют найти баг, позволяют его эксплуатировать. Если модель уровня Mythos существует у Anthropic, скорее всего, аналогичные разработки ведутся и другими игроками, чьи цели могут быть противоположными.
Регуляторы выбрали тихую дипломатию. Это означает управление рисками, а не их отсутствие. Молчание не равно безопасности.
Для участников DeFi-экосистемы профиль угроз другой, но не менее серьёзный. ИИ-модели способны анализировать смарт-контракты с той же скоростью, с какой Mythos прочёсывает банковский код. Разбор рисков DeFi 2026 с ИИ-угрозами и бэкдорами показывает конкретные векторы атак, которые уже фиксируются. А понимание того, как устроен DeFi в 2026 году, помогает оценить, какие именно протоколы наиболее уязвимы перед автоматизированным поиском эксплойтов. Тем, кто строит долгосрочную стратегию хранения активов вне банковской системы, полезно посмотреть актуальный гайд по покупке Bitcoin в 2026, где рассматриваются вопросы безопасности на каждом этапе.
Данная статья носит исключительно информационный характер. Она не является финансовой, инвестиционной или юридической рекомендацией. Рынок криптоактивов и цифровых технологий сопряжён с повышенными рисками, включая полную потерю вложенных средств. Перед принятием решений проконсультируйтесь с лицензированным специалистом.
FAQ
Могут ли аналоги Mythos использоваться для атак на криптобиржи и кастодиальные сервисы?
Да. Кастодиальные криптосервисы используют серверную инфраструктуру, веб-фреймворки и сторонние библиотеки точно так же, как и банки. ИИ-модель, способная автоматически строить граф зависимостей и генерировать эксплойты, не различает тип финансового учреждения. Если кастодиальный сервис работает на общих вендорских решениях, он подвержен тем же рискам масштабирования: один найденный баг затрагивает всех клиентов вендора.
Существуют ли открытые аналоги Mythos, доступные для независимого аудита безопасности?
На момент публикации Mythos от Anthropic остаётся закрытым инструментом с ограниченным доступом. Открытых аналогов с подтверждённым сопоставимым функционалом в публичном поле нет.
Почему регуляторы трёх стран провели именно закрытые, а не публичные встречи?
Публичное признание масштаба уязвимостей в банковских системах способно спровоцировать отток вкладов и рыночную панику. Закрытый формат позволяет координировать устранение проблем до того, как информация станет инструментом для злоумышленников. Это стандартная практика кризисного управления в финансовом секторе.
Старая инженерная поговорка: мост не падает в тот день, когда появляется трещина, он падает в тот день, когда по трещине проезжает достаточно тяжёлый грузовик. Mythos не создал трещины в банковских системах. Он просто оказался первым, кто их все сфотографировал. Вопрос теперь не в том, есть ли трещины. Вопрос в том, кто приедет первым: ремонтная бригада или грузовик.