Project Glasswing: как Anthropic обогнал FCA и что это значит для регулируемых индустрий

В апреле 2026 Anthropic выпустил Mythos и за неделю пустил его в UK банки.
Без формального FCA approval. Регуляторы догоняют.
Разбор того, что реально произошло и что делать CRO или compliance-директору.

7 апреля 2026. Anthropic публикует анонс Mythos, frontier-модели, специализированной на cybersecurity. По заявлению самой Anthropic, модель автономно находит «thousands of zero-day vulnerabilities» во всех основных ОС и браузерах. Независимой верификации этой цифры на момент анонса нет.

В том же анонсе Anthropic запускает Project Glasswing. Инициатива ограниченного доступа: «трастовые партнёры» (major cloud providers, security teams, select financial institutions) получают ранний доступ к Mythos для defensive security работы. Публичный релиз отложен.

11 апреля. Bank of England созывает Cross Market Operational Resilience Group (CMORG) для обсуждения Mythos с крупнейшими UK банками и инфраструктурными провайдерами.

16 апреля. Anthropic анонсирует, что доступ к Mythos будет предоставлен UK банкам в течение следующей недели. Bloomberg публикует подтверждение. Параллельно FCA, PRA, NCSC, HM Treasury вовлечены в консультации.

Формального approval нет. Есть координация рисков.

Стандартная последовательность adoption AI в регулируемых отраслях выглядит так.

С Mythos случилось другое.

Это инверсия привычной модели. Anthropic не получил approval. Anthropic создал условия, в которых approval не нужен. Формально ничего authorize не требуется: вендор сам ограничивает доступ.

Andrew Bailey (Governor, Bank of England): публично назвал Mythos «способом вскрыть мир cyber-рисков». Это признание возможностей, не approval. BoE сейчас оценивает риски.

PRA (Prudential Regulation Authority): анонсировал три направления работы на ближайшие месяцы.

FCA: расширяет AI Live Testing (вторая cohort в марте-апреле), но bespoke framework специально для Mythos не публиковал.

Базовый тезис. Регуляторная инфраструктура отстала от темпа выхода frontier AI на критическую инфраструктуру. Ждать formal approval значит ждать два года. Принимать внутренние решения приходится раньше, под собственную ответственность.

Четыре вопроса, которые нужно задать себе в ближайшие 30 дней.

1. Vendor due diligence без regulator cover. Какой у нас фреймворк оценки AI-вендора, когда formal authorization отсутствует? Если ответ «ждём FCA», вы уже проигрываете. Нужен собственный фреймворк: модель risk assessment, red-team testing, continuous monitoring.

2. Human-in-the-loop как дефолт. Mythos находит уязвимости, но решение о патче и развёртывании остаётся за человеком. Ни один auto-remediation workflow не должен идти без approval со стороны security lead. Принцип, а не рекомендация.

3. Audit trail для всех AI-решений. Каждое предложение Mythos (или любого frontier AI) логируется с полным контекстом: input, output, human decision, outcome. Когда FCA через 6-12 месяцев спросит «покажите, как вы управляли рисками», у вас должен быть ответ в виде логов, не memo.

4. Blast radius ограничение. Что именно может сделать Mythos без human approval? Если ответ «всё что угодно в рамках cybersecurity», вы не готовы. Нужны explicit blast-radius ограничения на уровне контрактов и технических контролов.

Small banks и не-UK jurisdictions. Project Glasswing выбрал конкретных партнёров. Если вы не в их списке, вы не получите Mythos. Регуляторы других стран (ЕЦБ, Federal Reserve) могут установить более жёсткие рамки. Обсуждаемая выше модель работает для конкретного UK-сценария апреля 2026.

Cybersecurity vs general AI. Mythos это cybersecurity-специализированная модель. Для customer service, risk analysis, compliance review нужны другие инструменты и другой фреймворк. Не переносите Mythos-логику на весь AI adoption.

Regulatory whiplash. Если Mythos создаст громкий incident (утечка, ошибка remediation с финансовыми последствиями), FCA отреагирует жёстко. Регуляторная реакция будет асимметричной: на один серьёзный инцидент придётся годы ограничений.

Три траектории с авторской калибровкой.

Оптимистичный (около 25%). Project Glasswing показывает результаты без инцидентов. FCA и BoE разрабатывают lightweight framework для frontier AI в critical infrastructure. Anthropic расширяет программу. Другие регуляторы копируют UK-подход.

Базовый (около 55%). Mythos работает, но результаты смешанные. Регуляторы пишут guidance, не обязательный framework. Банки внедряют собственные governance-модели, качество которых сильно варьируется. Рынок дифференцируется по уровню внутренней AI-зрелости.

Пессимистичный (около 20%). Первый громкий incident происходит в течение 12 месяцев (auto-remediation с false positive на критичной системе, или утечка внутренней telemetry). FCA вводит жёсткий framework. Anthropic и другие frontier-vendors откатываются к более осторожным rollout-моделям.

Регуляторный фрейминг финансовых услуг построен на допущении, что инновация медленнее регулятора.

Mythos показал, что это допущение больше не работает.

Frontier AI-вендоры могут разворачивать мощные инструменты в critical infrastructure быстрее, чем регуляторы успевают провести оценку. Формальный approval становится опциональным, если вендор сам выбирает партнёров и сам ограничивает scope.

Это новая реальность для CRO регулируемых индустрий. Ждать FCA guidance перед принятием решения о vendor значит опоздать. Принимать решение без FCA guidance значит нести персональную ответственность за risk assessment.

Среднего пути нет.

И это не ошибка Anthropic. Это структурный сдвиг, к которому отрасль адаптируется следующие 24 месяца.

Источники:
red.anthropic.com / Project Glasswing announcement (7 апреля 2026), TechCrunch, Bloomberg (11, 16 апреля),
Bank of England публичные комментарии, PRA консультативные документы.
Конкретные имена UK банков Anthropic публично не раскрыла.
Цифра «thousands of zero-day vulnerabilities» — заявление самой Anthropic, независимо не верифицировано.

Больше разборов AI для бизнеса - в Telegram: Telegram