Перейти к содержимому
Guide

Клод Мифос обнаружил более 500 нулевых дней: автоматизируйте проверки безопасности

| 8 min read

Антропный\

Abstract blue digital circuit pattern representing AI security analysis
Photo by Growtika on Unsplash

7 апреля 2026 года Anthropic анонсировала превью Claude Mythos Preview. За несколько дней внутреннего тестирования было обнаружено более 500 уязвимости высокой степени серьезности в некоторых из наиболее тщательно изучаемых кодовых баз на планете: 16-летний подросток вышел за пределы писать на FFmpeg, отказ в обслуживании 27-летней давности в OpenBSD и удаленное выполнение кода во FreeBSD, которое не обнаруживался в течение 17 лет (CVE-2026-4747).

У вас нет доступа к Мифосу. Anthropic ограничила его партнерами Project Glasswing: AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike и ряд других. Но суть ясна: если ИИ сможет найти ошибки, скрывающиеся в Если кодовые базы проверены фаззерами миллионы раз, в вашей инфраструктуре тоже есть пробелы.

В этом посте рассматриваются шесть проверок безопасности, которые вы можете автоматизировать прямо сейчас с помощью вызовов API. Доступ к Mythos не требуется. Каждый один берет один curl команда и возвращает структурированный JSON, который можно передать в оповещения, информационные панели или CI-конвейеры.

Что нашел Mythos (и почему это важно для вашего стека)

Традиционные фаззеры вводят в код случайные входные данные. Mythos читает и рассуждает об исходном коде как о безопасности. исследователь. Он отслеживал историю коммитов Git, выявлял неполные исправления и строил цепочки эксплойтов, охватывающие множественные уязвимости.

Проект Тип ошибки Возраст Деталь
Кодек FFmpeg H.264 За пределами поля писать 16 лет Коллизия нумерации срезов; фаззеры попадали на линию 5 миллионов раз, не сработав
OpenBSD TCP/SACK Отказ в обслуживании 27 лет Переполнение знакового целого числа + разыменование NULL-указателя; удаленно выводит из строя любую машину
FreeBSD НФС Удаленное выполнение кода 17 лет CVE-2026-4747; переполнение буфера стека при аутентификации RPCSEC_GSS, аутентификация не требуется
GhostScript Обход границ стека Десятилетия Неполная проверка границ при обработке шрифтов; отразил ранее исправленный путь
CGIF Переполнение буфера Годы Сброс словаря LZW приводит к тому, что выходные данные превышают размер входных данных; 100% покрытие кода упустило это

Стоимость? Менее 20 000 долларов на поиск ошибки OpenBSD. Менее 10 000 долларов за уязвимости FFmpeg. Это дешевле, чем одна неделя ручного тестирования на проникновение.

Сегодня вы не сможете запустить Mythos против своего собственного кода. Но вы можете закрыть пробелы, не требующие глубокого двоичного кода. анализ: сертификаты с истекшим сроком действия, отсутствие аутентификации по электронной почте, слабые заголовки безопасности и молчащие простои.

Проверка 1. Срок действия SSL-сертификата истек.

Сертификаты SSL с истекшим сроком действия приводят к сбоям в работе и подрывают доверие пользователей. Stripe, Microsoft и Spotify уже имели инциденты, связанные с сертификатами. Один вызов API сообщит вам, сколько дней у вас осталось. 

curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "issuer": "Let's Encrypt",
    "valid_from": "2026-02-01T00:00:00.000Z",
    "valid_to": "2026-05-02T00:00:00.000Z",
    "days_remaining": 23,
    "expired": false,
    "expiring_soon": true
  }
}

The expiring_soon флаг переворачивается на true когда сертификат готов в течение 30 дней с момента срок действия. Направьте это в оповещение Slack или проверку CI.

Проверка 2. Проверка записи SPF

Неправильно настроенная запись SPF означает, что злоумышленники могут подделать электронную почту из вашего домена. Объявление Mythos напомнило всем, что безопасность выходит за рамки кода: ваша конфигурация DNS также является поверхностью атаки. 

curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "has_spf": true,
    "record": "v=spf1 include:_spf.google.com ~all",
    "issues": [
      "SPF record uses ~all (softfail) instead of -all (hardfail)"
    ],
    "score": "B"
  }
}

Распространенные проблемы, которые обнаруживает конечная точка: ~all вместо -all, слишком много запросов DNS (превышает лимит поиска в 10 раз) и отсутствует include: директивы для сторонних отправителей.

Проверка 3. Политика DMARC

Без DMARC ваши проверки SPF и DKIM не будут иметь силы. Злоумышленники передают поддельные электронные письма в почтовые ящики, которые пропустить проверку. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

Искать policy: "reject" в ответ. Что-то меньше(none или quarantine) означает, что поддельные электронные письма из вашего домена все равно могут попасть во входящие.

Проверка 4. Выбор DKIM

DKIM подписывает исходящие электронные письма криптографическим ключом. Без этого принимающие серверы не смогут проверить содержимое электронной почты. не подвергался манипуляциям при транспортировке. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com", "selector": "google"}'

Передайте селектор, который использует ваш провайдер электронной почты (Google использует google, Microsoft использует selector1 и selector2). Конечная точка подтверждает, что открытый ключ существует и корректен. отформатирован.

Проверка 5. Заголовки безопасности HTTP.

Отсутствуют заголовки, например Strict-Transport-Security, X-Content-Type-Options, и Content-Security-Policy оставьте свое приложение открытым для атак на более раннюю версию, перехвата MIME и XSS. 

curl -s -X POST https://api.botoi.com/v1/headers \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Ответ включает в себя security_headers объект, показывающий, какие заголовки присутствуют, какие отсутствуют, и какие значения они содержат. Добавьте эту проверку в свой конвейер развертывания, чтобы выявить регрессии.

Проверка 6: Время безотказной работы и время отклика

Если ваш сайт не работает, все остальное не имеет значения. Быстрая проверка работоспособности подтверждает, что ваше приложение отвечает, измеряет задержку, и улавливает циклы перенаправления или неожиданные коды состояния. 

curl -s -X POST https://api.botoi.com/v1/uptime/check \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Объедините все шесть в один сценарий аудита

Запустите все шесть проверок любого домена с помощью одного сценария bash. Сохраните это как audit.sh, сделай это исполняемый файл и передайте свой домен в качестве аргумента. 

#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"

echo "Security audit for \$DOMAIN"
echo "=========================="

# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'

# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'

# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'

# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'

# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'

echo "\\nAudit complete."

Node.js с Botoi SDK

Если вы предпочитаете TypeScript, @botoi/sdk пакет выполняет все проверки параллельно с полной безопасностью типов. 

import Botoi from "@botoi/sdk";

const botoi = new Botoi(); // no key needed for free tier

async function auditDomain(domain: string) {
  const [ssl, spf, dmarc, headers] = await Promise.all([
    botoi.sslCert.expiry({ domain }),
    botoi.dnsSecurity.spfCheck({ domain }),
    botoi.dnsSecurity.dmarcCheck({ domain }),
    botoi.headers.check({ url: \`https://\${domain}\` }),
  ]);

  const issues: string[] = [];

  if (ssl.data.days_remaining < 30) {
    issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
  }
  if (!spf.data.has_spf) {
    issues.push("Missing SPF record");
  }
  if (!dmarc.data.has_dmarc) {
    issues.push("Missing DMARC record");
  }
  if (spf.data.score !== "A") {
    issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
  }

  return { domain, issues, passed: issues.length === 0 };
}

const result = await auditDomain("your-app.com");
console.log(result);

Автоматизация с помощью действий GitHub

Запускайте эти проверки при каждом нажатии на main и по еженедельному графику. Действие завершает сборку неудачно, когда Срок действия SSL-сертификата истекает в течение 14 дней или показатель SPF падает ниже A. 

name: Security Audit
on:
  schedule:
    - cron: '0 9 * * 1' # Every Monday at 9 AM
  push:
    branches: [main]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check SSL expiry
        run: |
          RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
          if [ "\$DAYS" -lt 14 ]; then
            echo "::warning::SSL certificate expires in \$DAYS days"
            exit 1
          fi

      - name: Check DNS security
        run: |
          SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          SCORE=\$(echo \$SPF | jq -r '.data.score')
          if [ "\$SCORE" != "A" ]; then
            echo "::warning::SPF score is \$SCORE, not A"
          fi

Что Mythos меняет для служб безопасности

Mythos обнаружил 595 входных данных, вызывающих сбои, в корпусе OSS-Fuzz по сравнению с примерно 150 в Opus 4.6. Он разработал 181 рабочий эксплойт для Firefox, где Opus 4.6 управлял 2. Anthropic выделила 100 миллионов долларов на API. кредиты и 4 миллиона долларов организациям безопасности с открытым исходным кодом через Project Glasswing.

Вывод: обнаружение уязвимостей с помощью ИИ работает. Масштаб и скорость будут только увеличиваться. Злоумышленники будут получить доступ к аналогичным возможностям. Ваша защита не может полагаться только на проверки вручную.

Шесть проверок в этом посте не обнаружат в ваших зависимостях переполнение буфера 16-летней давности. Но они ловят незаметные сбои, которые вызывают реальные инциденты: просроченные сертификаты, поддельные домены электронной почты, отсутствие безопасности. заголовки и тихое время простоя. Автоматизируйте их сегодня. Исправьте то, что возвращается. Тогда беспокойтесь о более глубоких вещах.

FAQ

Что такое Claude Mythos и могу ли я его использовать?
Claude Mythos Preview — новейшая модель искусственного интеллекта Anthropic, анонсированная 7 апреля 2026 года. Она обнаружила более 500 уязвимостей высокой степени опасности в проектах с открытым исходным кодом, таких как FFmpeg, OpenBSD и FreeBSD. У Anthropic нет планов по публичному выпуску. Доступ ограничен партнерами Project Glasswing, включая AWS, Apple, Google, Microsoft, Nvidia и CrowdStrike.
Какие уязвимости обнаружил Клод Мифос?
Mythos обнаружил ошибки повреждения памяти, переполнения буфера, стека и логические ошибки. Яркие примеры включают запись за пределами допустимого диапазона 16-летней давности в кодеке FFmpeg H.264, ошибку отказа в обслуживании 27-летней давности в стеке TCP OpenBSD и уязвимость удаленного выполнения кода 17-летней давности в FreeBSD NFS (CVE-2026-4747).
Могу ли я проверить безопасность SSL и DNS моего домена с помощью API?
Да. Отправьте POST-запрос на https://api.botoi.com/v1/ssl-cert/expiry с указанием вашего домена, чтобы проверить действительность сертификата. Используйте /v1/dns-security/spf-check, /v1/dns-security/dmarc-check и /v1/dns-security/dkim-check для аудита записей аутентификации электронной почты. Все конечные точки работают без ключа API со скоростью 5 запросов в минуту.
Как автоматизировать проверки безопасности в конвейере CI?
Вызовите конечные точки безопасности из любой системы CI с помощью Curl или HTTP-клиента. Проверяйте срок действия SSL, записи безопасности DNS, заголовки безопасности HTTP и доступность сайта при каждом запросе или по расписанию cron. API Botoi возвращает структурированный JSON, поэтому вы можете анализировать результаты и не выполнять сборку, если проверка возвращает предупреждение.
Что такое проект Glasswing?
Проект Glasswing — это инициатива Anthropic по использованию Claude Mythos для обеспечения безопасности. В число партнеров входят AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks и Linux Foundation. Anthropic выделила до 100 миллионов долларов в виде кредитов API и 4 миллиона долларов организациям, занимающимся безопасностью с открытым исходным кодом.

Начните разработку с botoi

150+ API-эндпоинтов для поиска, обработки текста, генерации изображений и утилит для разработчиков. Бесплатный тариф, без банковской карты.

Документация API Все инструменты