Laajempi merkitys on se, että perinteinen N-päivän ikkuna – ne viikot tai kuukaudet, jotka puolustajat laskivat korjauksen julkistamisen ja hyödynnettävän haavoittuvuuden saatavuuden välillä – on käytännössä romahtanut .
Erillisessä, mutta aiheeseen liittyvässä arvioinnissa Mythos laukaisi 13 niistä 14:stä Windowsin bugista, jotka Microsoft oli luokitellut "epätodennäköisesti hyödynnettäviksi", ja vei yhden näistä bugeista täyteen järjestelmän hallintaan asti . Microsoftin "matalan hyödynnettävyyden" luokitus kattaa tällä hetkellä 80–90 % jopa kriittisen tason bugeista, mikä tarkoittaa, että tietoturvatiimien kiireellisenä pitämien haavoittuvuuksien joukko on ehkä laajennettava noin viisinkertaiseksi
. Luokitusjärjestelmä, joka suunniteltiin maailmaan, jossa hyökkäyksen kehittäminen vaati viikkojen verran kovan tason asiantuntijatyötä, aliarvioi nyt autonomisen tekoälyn aiheuttaman uhan, sillä tekoäly pystyy samaan minuuteissa.
Yksi epämukavimmista luvuista Anthropicin paljastuksissa on kustannus. Yksittäisten nollapäivähaavoittuvuuksien (zero-day) löytämiskerrat maksoivat alle 50 dollaria onnistumista kohden. Täysi OpenBSD:n läpikäyntikampanja – tuhansia kertoja – maksoi noin 20 000 dollaria ja paljasti useita kriittisiä haavoittuvuuksia, mukaan lukien 27 vuotta vanhan bugin OpenBSD:n TCP-pinosta . Linux-ytimen N-päivän pääkäyttäjän oikeudet antavia hyökkäyksiä rakennettiin alle 2 000 dollarilla kappaleelta
. Anthropicin koko punaisen tiimin kampanja pysyi reilusti alle 20 000 dollarissa kokonaisia koodipohjia läpikäytäessä
.
Nämä eivät ole kansallisvaltioiden budjetteja. Ne ovat yksittäisen kehittäjän tai pienen tiimin budjetteja, mikä tarkoittaa, että kehittyneen haavoittuvuuksien etsinnän ja hyökkäysten kehittämisen kynnys on laskenut dramaattisesti juuri sillä hetkellä, kun tekoälyn kyvykkyydet ovat nousseet jyrkästi .
Anthropic julkisti Claude Mythos Preview'n 7.–8. huhtikuuta 2026 esitellen kärkimallin, joka löysi ja hyödynsi itsenäisesti nollapäivähaavoittuvuuksia jokaisesta merkittävästä käyttöjärjestelmästä ja verkkoselaimesta, löytäen tuhansia korkean vakavuusasteen bugeja – mukaan lukien aukkoja, jotka olivat selvinneet vuosikymmenten asiantuntija-arvioinneista . Äärimmäisen kaksikäyttöriskin vuoksi Anthropic ei julkaissut Mythosia julkisesti. Sen sijaan se loi Project Glasswingin, valvotun kyberturvallisuushankkeen, joka oli aluksi rajoitettu noin 50 kumppaniorganisaatiolle, mukaan lukien AWS, Apple, Cisco, Google, Microsoft, JPMorgan ja Linux Foundation
.
Kesäkuusta 2026 alkaen Glasswing laajenee kattamaan noin 150 organisaatiota yli 15 maasta, mukaan lukien kansallisia turvallisuusvirastoja Australiassa, Isossa-Britanniassa ja useissa EU- ja Aasian maissa . Kumppanit saavat 90 päivän yksinoikeudella olevan päivitysikkunan ennen kuin havainnot julkistetaan
. Toukokuun 2026 loppuun mennessä Mythos oli löytänyt yli 10 000 korkean tai kriittisen tason haavoittuvuutta järjestelmän kannalta kriittisistä ohjelmistoista
.
Pelkästään Mozillan yhteistyö Anthropicin kanssa johti 271:een nollapäivähaavoittuvuuden löytymiseen ja korjaamiseen Firefox 150:ssä – suurimmassa yksittäisessä tietoturvakorjausten erässä selaimen historiassa .
Teollisuuden vastaus: Cisco liittyi alkuperäiseen Glasswing-kumppanijoukkoon, yhdessä muiden suurten teknologia- ja kyberturvallisuusyritysten kanssa, saaden varhaisen pääsyn Mythosiin oman ja avoimen lähdekoodin ohjelmistojensa puolustukselliseen haavoittuvuuksien etsintään . Mozillan sisäinen kumppanuus Anthropicin kanssa edelsi täyttä Mythos-julkistusta, ja tulokset – 271 korjattua nollapäivää – osoittivat vastuullisesti käytetyn työkalun puolustuksellisen potentiaalin
.
Trumpin hallinto: Poliittinen vastaus oli myrskyisä. Huhtikuussa 2026 kansallinen kyberjohtaja Sean Cairncross johti tiedotusta virastoille, mutta CISA:n (Kyberturvallisuus- ja infrastruktuurivirasto) rahoitusleikkaukset ja sisäpoliittiset taistelut mutkistivat koordinointia . Toukokuun 21. päivänä Trump hyllytti suunnitellun presidentin asetuksen, joka olisi vaatinut tekoälylaboratorioita toimittamaan kärkimallinsa hallituksen tarkastettavaksi 90 päivää ennen julkista julkaisua. Trump sanoi toimittajille, ettei halunnut minkään hidastavan Amerikan johtoasemaa suhteessa Kiinaan
.
Alle kahta viikkoa myöhemmin, 3. kesäkuuta, Trump allekirjoitti tarkistetun presidentin asetuksen tekoälyinnovoinnista ja kyberturvallisuudesta, joka loi vapaaehtoisen 30 päivän tarkastelukehyksen uusille kärkimalleille. Tämä oli kevyempi kuin hylätty 90 päivän mandaatti, mutta silti tunnustus sille, ettei vallitseva tilanne ollut riittävä .
Samaan aikaan hallinnon virastot, mukaan lukien valtiovarainministeriö, keskuspankki (Fed) sekä hallinto- ja budjettivirasto (OMB), kiirehtivät saadakseen pääsyn Mythosiin huhtikuisten varoitusten jälkeen. Valtiovarainministeriö sai hätätilanteen briefauksia huolimatta Trumpin aiemmasta määräyksestä lopettaa kaikki Anthropicin teknologian käyttö .
Kongressi: OpenAI ja Anthropic pitivät suljettuja ovensa takaisia briefauksia edustajainhuoneen kotimaan turvallisuuden valiokunnalle tekoälyavusteisista kyberuhista. Nämä olivat ensimmäisiä kongressin henkilökunnalle pidettyjä omistettuja tekoälyn kyberturvauhkien briefauksia .
Ydinviesti on selvä: aikakausi, jolloin korjausjulkaisu antoi puolustajille viikkoja hengähdysaikaa, on ohi – ainakin sellaisia vastustajia vastaan, joilla on pääsy huipputason tekoälyyn. Epäsymmetria on räikeä: yrityksiltä menee yhä noin 70 päivää korjausten asentamiseen, kun taas tekoäly voi aseistaa samat aukot alle tunnissa. Organisaatiot joutuvat nyt miettimään uudelleen, mitä haavoittuvuuksia ne pitävät kiireellisinä, miten ne priorisoivat korjaustoimia ja voiko niiden haavoittuvuuksien hallinnan rytmi selvitä maailmassa, jossa hyökkäysten kehittämisestä on tullut halpaa, nopeaa ja automatisoitua.