Anthropic Mythos и банки: почему США смотрят на тесты
Anthropic Mythos и банки: почему власти США могут подталкивать финансовый сектор к тестам модели и где начинается конфликт с комплаенсом.
Anthropic Mythos и банки внезапно оказались в одной истории не из-за маркетинга Anthropic. 12 апреля 2026 года TechCrunch со ссылкой на Bloomberg сообщил, что министр финансов США Скотт Бессент и глава ФРС Джером Пауэлл созвали руководителей крупных банков и могли рекомендовать им тестировать Mythos для поиска уязвимостей. На первый взгляд это выглядит логично: если модель действительно лучше прежних систем ищет ошибки в коде, финансовый сектор захочет проверить её первым.
Но у этой новости есть неприятная вторая половина. Вокруг Anthropic уже идёт конфликт с Министерством обороны США: Пентагон назвал компанию риском для цепочки поставок после спора о допустимом военном использовании моделей. Получается странная развилка. Одни американские власти видят в Mythos инструмент для защиты критической инфраструктуры, другие считают самого поставщика риском. Для банков это не повод для паники, а повод для очень жёсткого комплаенс-разбора.
По состоянию на 13 апреля 2026 года публичных данных о массовом внедрении Mythos банками нет. Речь идёт о возможном тестировании и раннем доступе, а не об обязательном переходе банковских команд безопасности на новую модель Anthropic.
Что известно о банковских тестах
TechCrunch пишет, что Бессент и Пауэлл обсуждали Mythos с руководителями Goldman Sachs, Citigroup, JPMorgan Chase, Bank of America и Morgan Stanley. По данным издания, JPMorgan Chase уже был в списке стартовых партнёров Project Glasswing, а Goldman Sachs, Citigroup, Bank of America и Morgan Stanley тестировали модель или готовились к тестам.
Формулировку лучше держать близко к источнику. TechCrunch говорит осторожно: власти США могут подталкивать банки к тестированию. Это не означает приказ регулятора, публичную закупку или промышленное внедрение. Неясно и то, одинаковый ли доступ получили все банки из сообщения Bloomberg.
Официальная часть истории известна лучше. 7 апреля 2026 года Anthropic объявила Project Glasswing: закрытую инициативу с Claude Mythos Preview для организаций, которые защищают критическое ПО. Среди стартовых партнёров компания назвала AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA и Palo Alto Networks. Anthropic также заявила, что расширяет доступ более чем на 40 организаций.
Почему именно банки
Банки подходят для тестов лучше многих отраслей. У них есть деньги на дорогой доступ к моделям, зрелые команды кибербезопасности, внутренние процедуры раскрытия уязвимостей и сильный надзор. Если Mythos найдёт критическую ошибку, банк в теории умеет превратить находку в тикет, патч, риск-мемо и отчёт для аудиторов.
Но именно поэтому банковский сценарий самый чувствительный. Финансовая организация не может просто сказать: «модель нашла уязвимость, значит модель полезна». Ей нужно доказать, где выполнялся анализ, какие данные ушли поставщику, кто видел результат, как закрыли уязвимость и почему работа с Anthropic не создаёт новый риск для цепочки поставок.
| Зона теста | Зачем здесь Mythos | Что проверит комплаенс |
|---|---|---|
| Внутренний код и критические сервисы | Anthropic заявляет, что Mythos Preview помогает находить и исправлять уязвимости в критическом ПО. | Какие фрагменты кода можно отправлять модели, где хранятся запросы и кто получает отчёт о находках. |
| Открытые зависимости | Project Glasswing строится вокруг защиты критического ПО и открытого кода, а банки зависят от тысяч библиотек. | Как оформляется ответственное раскрытие, кто отвечает за патчи и как банк доказывает, что не удержал информацию об уязвимости. |
| Поставщики и облака | Mythos доступен не как публичный чат, а как ограниченный доступ для одобренных организаций и партнёров. | Не конфликтует ли использование Anthropic с внутренней политикой риска поставщика и требованиями клиентов, связанных с оборонными контрактами. |
Mythos не обычный сканер
Причина интереса банков не в названии модели, а в техническом скачке, который Anthropic описала в разборе Frontier Red Team. По данным компании, Mythos нашёл 332 потенциально значимые аварии в 14 из 24 тестовых целей. Для наиболее важных уровней тестирования 77% находок воспроизводились. Отдельно Anthropic пишет, что более 99% обнаруженных уязвимостей на момент публикации ещё не были исправлены.
Самая громкая цифра относится к Firefox JS shell. В тесте на уже исправленных уязвимостях JavaScript-движка Mythos собрал рабочий эксплойт в 181 попытке из 250, ещё в 29 попытках получил контроль регистра, но не довёл цепочку до полноценного эксплойта. Это не означает «ИИ взломал браузер»: JS shell не равен полной цепочке атаки на пользовательский Firefox. Подробно эту грань мы разбирали в материале про Claude Mythos и кибербезопасность.
Для банка практический вывод другой: модель такого класса может ускорить работу red team и AppSec-команд, но одновременно создаёт новый режим ответственности. Если система находит уязвимость, организация должна уметь быстро подтвердить её, оценить ущерб, закрыть проблему и зафиксировать цепочку решений. Без этого Mythos превратится в генератор тревожных отчётов, а не в инструмент снижения риска.
Где конфликт с Пентагоном
Контекст вокруг Anthropic делает банковскую историю политически неудобной. WIRED в феврале писал, что министр обороны Пит Хегсет распорядился обозначить Anthropic как риск для цепочки поставок. Поводом стали переговоры о том, как военные могут использовать модели Claude. Anthropic заявляла, что будет оспаривать такое обозначение в суде и что Пентагон выходит за рамки своих полномочий.
TechCrunch поэтому и называет банковскую линию неожиданной. Если одна часть правительства считает Anthropic проблемным поставщиком для оборонного контура, а другая хочет, чтобы банки тестировали Mythos против уязвимостей, финансовым организациям приходится держать обе версии в голове. Банковский комплаенс не может сослаться только на пользу модели. Ему нужно отдельно оценить юридический статус поставщика, доступ к данным, условия облачного размещения и риски для клиентов, которые сами работают с государственными контрактами.
В этом месте история пересекается с более широкой темой о границах военного использования ИИ. Мы уже разбирали конфликт Anthropic, OpenAI и Пентагона: спор не сводится к одной модели, он касается того, какие ограничения лаборатории могут навязывать государственным заказчикам и где начинается давление государства на поставщика.
Что банк должен спросить до теста
Если банк действительно получает доступ к Mythos, первый вопрос не про точность модели. Сначала нужно понять контур: какие данные можно отправлять в модель, проходит ли код через стороннее облако, кто имеет доступ к журналам запросов и можно ли полностью удалить чувствительные артефакты после теста.
Второй блок вопросов касается результата. Найденная уязвимость почти всегда проходит несколько рук: модель, инженер безопасности, владелец сервиса, юристы, команда раскрытия уязвимостей, иногда внешний поставщик. У банка должен быть заранее описанный маршрут, иначе сильная модель ускорит только первую часть процесса, а исправление застрянет в обычной бюрократии.
Третий блок связан с поставщиком. Если вокруг Anthropic остаётся спор о риске для цепочки поставок, служба закупок и юридический отдел должны зафиксировать, почему тест разрешён, какие ограничения наложены на данные и что будет, если регуляторная позиция изменится. Это особенно важно для банков, которые обслуживают оборонных подрядчиков или сами используют инфраструктуру поставщиков с контрактами Министерства обороны США.
Наконец, нужен сценарий отказа. Если Mythos не проходит проверку по приватности, журналированию или юридическим условиям, банк должен иметь альтернативу: собственный фаззинг, внешнюю red team, классические SAST/DAST-инструменты, проверку открытых зависимостей и ручной аудит критического кода. Модель может усилить этот процесс, но не должна быть единственным способом увидеть риск.
Что это значит для рынка
Project Glasswing уже показал, что сильные модели для поиска уязвимостей будут распространяться через доверенный доступ, а не через обычный публичный релиз. Об этом мы отдельно писали в материале про Anthropic Project Glasswing. Банковская история добавляет новый слой: доверенный доступ должен быть не только техническим, но и юридическим.
Для разработчиков и команд безопасности вывод прагматичный. Если такие модели получают банки, облака и крупные поставщики, стоимость поиска ошибок в критическом коде будет снижаться. Защитникам нужно быстрее проверять зависимости, обновлять сервисы, вести журналы решений и закрывать уязвимости. А организациям, которые покупают ИИ-инструменты для безопасности, придётся проверять не только качество находок, но и политико-правовой статус поставщика.
Итог
Anthropic Mythos может стать для банков полезным инструментом раннего поиска уязвимостей, но только в закрытом и проверяемом контуре. Главная новость не в том, что банки «внедряют ИИ для кибербезопасности». Главная новость в том, что финансовые власти США, по данным TechCrunch и Bloomberg, могут видеть банки как безопасный полигон для модели, вокруг которой уже идёт спор между Anthropic и Пентагоном.
Если банки пойдут в такие тесты, им придётся доказать две вещи одновременно: Mythos снижает технический риск и не создаёт новый юридический риск. Для финансового сектора это нормальная цена доступа к сильным ИИ-моделям. Всё остальное было бы слишком похоже на эксперимент без страховки.
