Sammanfattning
Anthropics nya modell Claude Mythos Preview har hittat tusentals okända säkerhetshål i världens mest använda mjukvara — inklusive buggar som överlevt decennier av mänsklig granskning. Project Glasswing är ett desperat men hoppfullt försök att ge försvararna ett försprång innan samma förmågor sprider sig till angripare.
Anthropic meddelade igår att de lanserar Project Glasswing — ett branschövergripande initiativ som samlar AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, JPMorganChase, Palo Alto Networks, Broadcom och Linux Foundation kring ett gemensamt mål: att använda AI:n för att försvara världens mest kritiska mjukvara.
Det är inte ett PR-utspel. Det är ett nödrop med en konkret plan.
En AI som hittar det människor missar
I centrum av Glasswing står Claude Mythos Preview — en osläppt frontiermodell som Anthropic säger har passerat en tröskel inom cybersäkerhet. Modellen kan autonomt upptäcka och exploatera mjukvarusårbarheter på en nivå som överträffar i princip alla utom de allra skickligaste mänskliga säkerhetsforskarna.
Siffrorna talar för sig själva:
- Tusentals zero-day-sårbarheter identifierade i alla stora operativsystem och webbläsare
- En 27 år gammal bugg i OpenBSD — ett operativsystem känt för sin extrema säkerhet — som tillät fjärrkrascher
- En 16 år gammal sårbarhet i FFmpeg som automatiserade testverktyg hade kört över 5 miljoner gånger utan att fånga
- Autonoma exploitkedjor i Linux-kärnan som eskalerar från vanlig användare till full root-kontroll
I ett fall skrev Mythos Preview en webbläsarexploit som kedjade ihop fyra separata sårbarheter och konstruerade en JIT heap spray som tog sig ur både renderarens och operativsystemets sandlådor — helt utan mänsklig styrning.
Från noll till hundra
Hoppet från tidigare modeller är inte inkrementellt — det är ett generationsskifte.
På Anthropics interna benchmarks fick Claude Opus 4.6 poängen 66,6 % på reproduktion av sårbarheter. Mythos Preview landade på 83,1 %. Men den verkliga klyftan syns i exploitutveckling: där Opus 4.6 lyckades förvandla Firefox-buggar till fungerande exploits bara 2 gånger av hundratals försök, lyckades Mythos Preview 181 gånger.
Kanske mest oroande: Anthropic-ingenjörer utan säkerhetsutbildning kunde be modellen hitta remote code execution-sårbarheter över natten och vakna upp till en fungerande exploit.
De här förmågorna tränades inte explicit. De uppstod som en bieffekt av generella förbättringar i kodförståelse och autonomt resonerande.
Varför gå ut med detta nu?
Anthropics logik är rak: om de har byggt en modell som kan göra detta, kommer andra att följa. Fönstret för att etablera ett försvarsövertag håller på att stängas.
CrowdStrikes George Kurtz sammanfattade det: "Fönstret mellan att en sårbarhet upptäcks och utnyttjas av en angripare har kollapsat — det som tog månader händer nu på minuter med AI."
Istället för att sitta på förmågan sätter Anthropic den i arbete:
- 100 miljoner dollar i användningskrediter för Mythos Preview till deltagande organisationer
- 4 miljoner dollar i direkta donationer till open source-säkerhetsorganisationer
- Åtkomst utökad till över 40 organisationer som bygger eller underhåller kritisk infrastruktur
- Kryptografiska hashar publicerade för oåtgärdade sårbarheter, med full disclosure efter att fixar är på plats
Koalitionen
Partnerlistan läser som en uppräkning av techvärldens fundament:
- AWS — testar Mythos Preview mot kritiska kodbaser, analyserar 400+ biljoner nätverksflöden dagligen
- Microsoft — validerade mot CTI-REALM-benchmark, rapporterar "väsentliga förbättringar" jämfört med tidigare modeller
- Google — gör Mythos Preview tillgänglig via Vertex AI, integrerar med befintliga verktyg som Big Sleep
- Cisco — applicerar på härdning av hårdvara och mjukvara
- CrowdStrike — partner från dag ett för hotdetektion och respons
- Linux Foundation — möjliggör för open source-underhållare att nå säkerhetsverktyg som tidigare var reserverade för stora team
- JPMorganChase — utvärderar för motståndskraft i finansiella system
Open source-vinkeln
Det här kan vara den mest påverkande delen. Linux Foundations Jim Zemlin lyfte att open source-underhållare — vars kod utgör grunden i nästan all kritisk infrastruktur i världen — historiskt fått hantera säkerhet på egen hand.
Glasswing kan demokratisera tillgången till elitsäkerhetsskanning för projekt som aldrig hade råd med dedikerade säkerhetsteam. Det är en stor grej — för open source är internet.
Vad det betyder
Project Glasswing signalerar flera saker samtidigt:
AI:ns cyberförmågor har anlänt. Modeller kan nu hitta buggar som överlevt decennier av mänsklig granskning och miljontals automatiserade tester.
Offensiv-defensiv-balansen skiftar. Samma förmågor som gör modellerna farliga gör dem ovärderliga för försvarare — men bara om försvararna rör sig först.
Samarbete är inte valfritt. Inget enskilt företag kan säkra mjukvaruekosystemet ensamt. Koalitionsmodellen erkänner detta.
Klockan tickar. Anthropic säger uttryckligen att liknande förmågor kommer att spridas bortom ansvarsfulla aktörer. Den defensiva infrastrukturen måste vara på plats innan det händer.
Vår take
Det finns en ironisk spänning i Glasswing. Anthropic säger i princip: "Vi har byggt något som kan knäcka all världens mjukvara. Panik? Nej — vi fixar det åt er."
Men ironin till trots är det svårt att se ett bättre alternativ. Om AI-modeller med den här kapaciteten är oundvikliga — och allt tyder på det — är det bättre att försvararna får ett försprång än att angriparna gör det.
Mythos Preview kommer inte att släppas publikt. Det här är en kontrollerad insats för cybersäkerhetsförsvar. Huruvida Glasswing lyckas ge försvararna ett bestående övertag återstår att se. Men som ett första steg — och som en signal om var AI-förmågorna faktiskt befinner sig — är det svårt att överskatta betydelsen.
De närmaste månaderna kommer att visa om techbranschen menar allvar med samarbetet, eller om det bara var ett pressmeddelande med många logotyper.