Cisco заявила, что за восемь недель с помощью передовых ИИ-моделей проверила 1,8 млрд строк кода в своем продуктовом портфеле. Для рынка это не просто красивая метрика: если такой поиск уязвимостей ИИ действительно работает в промышленных масштабах, у вендоров появляется шанс закрывать дыры быстрее злоумышленников, а у корпоративных заказчиков — новый повод спрашивать поставщиков, как именно они тестируют код.
Как пишет The Register, Cisco использовала Anthropic Claude Mythos Preview и OpenAI GPT 5.5-Cyber вместе с «человеко-управляемой обвязкой» для поиска слабых мест в коде. По словам старшего вице-президента Cisco Энтони Гриеко, модели за два месяца просмотрели объем, на который у продвинутой команды безопасности компании ушло бы около восьми лет. Речь идет о коде более чем на 25 языках программирования и о всей линейке продуктов, а не об узком пилоте на одном сервисе.
Главная проблема в другом: Cisco много говорит о скорости и масштабе, но не называет ключевую цифру — сколько именно уязвимостей нашли модели. Компания также не уточнила, все ли найденные проблемы уже исправлены. Для индустрии это не мелочь и не придирка. Без числа подтвержденных находок вся история пока выглядит как мощный сигнал о смене инструментария, но не как прозрачный кейс с измеримым эффектом. Даже заявленный уровень ложных срабатываний ниже 3 процентов звучит впечатляюще только в связке с данными о том, сколько реальных багов прошло через валидацию и что из этого дошло до патчей.
Сама формулировка Cisco показательна: прорыв, по версии компании, не в скорости как таковой, а в сочетании масштаба, качества и практической пользы. Это важный сдвиг в риторике. Раньше ИИ в безопасной разработке обычно продавали как помощника для рутины: подсветить подозрительный участок, разобрать лог, предложить шаблон фикса. Теперь крупнейшие игроки пытаются показать другую картину: модель можно натравить сразу на целые кодовые базы, а инженерная команда будет получать не поток шумных предупреждений, а уже отфильтрованные и проверенные находки. Если обещание выдержит встречу с реальностью, это меняет не отдельный этап AppSec, а экономику secure SDLC целиком.
Контекст у этой истории довольно жесткий. В начале апреля Anthropic представила Mythos Preview и запустила ограниченную партнерскую программу Project Glasswing примерно для 50 организаций. Логика была почти военная: доступ к модели выдали дозированно, потому что инструмент умеет не только находить, но и эксплуатировать уязвимости, а значит, при неосторожном распространении быстро пригодится не только защитникам. 2 июня Anthropic объявила о четырехкратном расширении программы: еще около 150 организаций получили доступ, а общее число партнеров выросло примерно до 200. География — более 15 стран, а среди новых отраслей компания отдельно выделила энергетику, водоснабжение, здравоохранение, телеком и железо. Это означает, что поиск уязвимостей ИИ из лабораторного эксперимента быстро переезжает туда, где баги уже связаны не только с данными и деньгами, но и с физической инфраструктурой.
Антропик не раскрывает полный список новых участников, но несколько имен уже известны. В число новых партнеров вошла Rubrik. Также сообщалось о подключении Korea Internet and Security Agency, Samsung Electronics, SK hynix и SK Telecom. То есть программа ушла далеко за пределы американского Big Tech и постепенно превращается в клуб крупных организаций, которые отвечают за чужие кодовые базы, платформы и инфраструктуру. Для таких компаний ценность особенно понятна: один найденный дефект может потом не разойтись по тысячам клиентов, интеграторов и госструктур.
Показательно и то, что Cisco не первая пытается перевести разговор из режима хайпа в режим производственных цифр. В мае Palo Alto Networks, один из ранних партнеров Glasswing, сообщила, что за месяц сканирования более 130 продуктов на трех платформах с помощью frontier AI-моделей, включая Mythos, обнаружила 26 CVE, за которыми стояли 75 базовых проблем безопасности. Для сравнения, компания обычно раскрывает меньше пяти CVE в месяц. Это уже не абстрактные разговоры о «трансформации», а хоть какая-то точка отсчета: видно, сколько уязвимостей поднялось на поверхность при массовом прогоне кода. На этом фоне молчание Cisco о количестве находок выглядит еще заметнее.
Для разработчиков и продуктовых команд из этой новости следует неприятный, но полезный вывод. Если крупнейшие вендоры реально начинают массово применять ИИ для аудита исходников, окно между появлением дефекта и его обнаружением будет сжиматься. Причем не только для защитников. Те же методы, которые помогают вендору быстрее находить и чинить баги, со временем неизбежно начнут работать и в руках атакующих. Поэтому спор уже не о том, нужен ли ИИ в AppSec, а о том, кто быстрее встроит его в процессы и сумеет удержать качество проверки под контролем человека.
Для бизнеса вопрос еще практичнее. Заказчики наверняка начнут спрашивать поставщиков не просто о наличии SAST, DAST и багбаунти, а о том, используют ли они модели уровня Mythos или GPT 5.5-Cyber, на каком объеме кода, с какой долей ложных срабатываний и как быстро доводят находки до исправлений. И здесь одной презентации уже мало. Если Cisco хочет превратить свою историю в отраслевой эталон, ей придется показать цифры не только по строкам кода, но и по уязвимостям, severity и скорости ремедиации.
Пока рынок видит любопытную асимметрию: технологии уже достаточно сильны, чтобы проверять миллиарды строк за недели, но публичная отчетность о результатах все еще осторожная и местами туманная. Это, пожалуй, и есть главный сюжет 2026 года в безопасности: поиск уязвимостей ИИ перестает быть демонстрацией возможностей и становится новым слоем инфраструктуры доверия. Осталось понять, кто первым научится доказывать его эффективность цифрами, а не только масштабом. Подробности исходной публикации — у .