Glasswing на паузе: у проекта Anthropic пока нашли только один прямо подтвержденный CVE

21.04.2026

Вокруг Project Glasswing и модели Claude Mythos Preview за последнюю неделю возник большой шум, но публично подтвержденный результат пока выглядит заметно скромнее ожиданий. Анализ CVE-записей показал, что 75 карточек содержат упоминание Anthropic, однако только 40 действительно кредитуют исследователей компании, а напрямую к Glasswing сейчас привязан лишь один CVE - FreeBSD NFS RCE под номером CVE-2026-4747.

Основной массив этих находок пришелся не на «критическую инфраструктуру вообще», а на вполне конкретные продукты. По подсчетам VulnCheck, из 40 CVE на Mozilla Firefox приходится 28, на wolfSSL - 9, еще по одному случаю относятся к FreeBSD, OpenSSL и F5 NGINX Plus. При этом 10 записей идут через внешние коллаборации вроде Calif.io и MADBugs, то есть не все они отражают самостоятельную работу Glasswing как отдельного проекта.

Это, впрочем, не означает, что Anthropic преувеличила возможности Mythos. В собственном техническом отчете компания прямо пишет, что более 99% найденных ею уязвимостей еще не исправлены, поэтому детали по ним не раскрываются в рамках coordinated disclosure. Там же Anthropic утверждает, что Mythos Preview уже находил и эксплуатировал zero-day-уязвимости во всех основных ОС и браузерах, включая уже исправленную 27-летнюю ошибку в OpenBSD и RCE в FreeBSD NFS.

Проблема в другом: между громкими заявлениями о "переломном моменте" для кибербезопасности и публично верифицируемым списком находок пока остается заметный пробел. На практике это означает, что реальную результативность Glasswing рынок сможет оценить только после выхода новых патчей и раскрытия отложенных CVE.