3432 уязвимости против 6000: китайская Tulongfeng бросает вызов Mythos от Anthropic.
Китайская Qihoo 360 заявила о создании ИИ-системы для поиска и эксплуатации уязвимостей, способной конкурировать с Mythos от Anthropic. Основатель компании Чжоу Хунъи сравнил такие инструменты с «киберъядерным оружием»: модели могут резко ускорить поиск слабых мест в программном обеспечении и усилить технологическое соперничество между США и Китаем в кибербезопасности, пишет Forbes.
Qihoo 360 входит в число крупнейших китайских компаний в сфере кибербезопасности, хотя за пределами Китая название известно меньше, чем западные бренды. Чжоу Хунъи заявил, что инженеры компании разработали модель Tulongfeng, которая нашла 3432 программные уязвимости. Независимая проверка результатов пока не завершена.
Сравнение с Mythos возникло не случайно. Ранее Anthropic сообщала, что ограниченная группа технологических и интернет-компаний использовала систему для обнаружения более 6000 уязвимостей высокой и критической степени опасности. Для отрасли кибербезопасности такая автоматизация стала важным сигналом: ИИ начинает выполнять часть работы, которая раньше требовала больших команд исследователей и много времени.
Qihoo 360 делает ставку не на одну мощную модель, а на набор специализированных ИИ-агентов. Чжоу Хунъи говорил, что прямое копирование американского подхода не даст Китаю паритета, поскольку китайские модели, по его оценке, пока уступают американским по базовым возможностям примерно на 20-30%. Tulongfeng работает как «рой»: разные агенты делят между собой этапы анализа, моделируют угрозы, выбирают рискованные поверхности атаки, создают песочницы, генерируют код эксплойтов и проверяют найденные ошибки в условиях, близких к реальной эксплуатации.
Заявление Qihoo 360 усиливает ощущение новой гонки вооружений в киберпространстве. Китайская компания давно привлекает внимание американских властей из-за связей с государственными структурами КНР. В 2020 году Минторг США внес Qihoo 360 в санкционный список, ограничив американским компаниям и гражданам возможность работать с китайским разработчиком без специальной лицензии. В докладе специального комитета Конгресса США по Китаю за 2025 год говорится, что Qihoo 360 возглавляет китайский Центр инноваций военно-гражданской интеграции в сфере кибербезопасности. Пентагон также относит компанию к участникам китайской оборонно-промышленной базы.
Эксперт Джорджтаунского университета Дакота Кэри видит главный риск в участии Qihoo 360 в Национальной базе данных уязвимостей информационной безопасности Китая. Базой управляет Министерство государственной безопасности КНР. В прежнем исследовании Кэри выяснил, что Qihoo 360 передавала через систему не менее 35 уязвимостей в год. Опасения вызывает практика задержки публичного раскрытия некоторых ошибок, поскольку такие уязвимости могут позже применяться в скрытых кибероперациях.
По оценке Кэри, собственная большая языковая модель позволит Qihoo 360 находить больше уязвимостей и быстрее передавать результаты государственным структурам. Эксперт считает, что условия киберопераций быстро меняются, а спецслужбы будут стремиться использовать такие инструменты сразу после получения доступа. Qihoo 360 не дала комментарий Forbes к моменту публикации материала.
В США вокруг похожих технологий тоже возникли ограничения, но ситуация изменилась. Ранее Минторг США запрещал Anthropic выпускать Fable, публичную и сильно ограниченную версию Mythos, для иностранных пользователей, после чего компания отключила Fable для всех. Позднее сообщалось, что американские власти сняли экспортный контроль с Claude Fable 5 и Mythos 5, а Anthropic получила возможность поэтапно перезапустить модели после переговоров и усиления мер безопасности.
OpenAI пошла похожим путем и ограничила доступ к новой модели GPT-5.6 для «доверенных партнеров», одобренных администрацией Дональда Трампа. Предыдущая модель GPT-5.5, доступная шире, уже показывала сопоставимые с Mythos возможности в поиске и эксплуатации уязвимостей.
На фоне ограничений в США китайские разработчики продолжают выпускать модели, которые всё ближе подходят к американским конкурентам. Особое внимание специалистов привлекла GLM-5.2 от Z.ai. Исследователи Semgrep сообщили, что китайская модель лучше последних доступных версий Claude справилась с поиском уязвимостей в их кибертестах. GLM-5.2 находится в открытом доступе и распространяется с открытыми весами, что дает пользователям больше контроля над настройкой и специализацией модели.
Старший исследователь Центра исследований безопасности при ETH Zurich Эудженио Бенинкаса считает, что со временем решающим фактором станет не только качество модели, но и эффективность организаций, которые используют ИИ. При близком уровне возможностей преимущество получит сторона, способная быстрее превращать такие технологии в реальные кибероперации.
Ранее сообщалось, что Qihoo 360 представила Tulongfeng как китайский «рой» специализированных ИИ-агентов для поиска и проверки уязвимостей.