Tekoäly, joka löysi 27 vuotta piileskelleen aukon, valjastettiin maailman kriittisten järjestelmien suojaksi

Syy tähän on suoraviivainen. Anthropicin arvion mukaan onnistunut kyberhyökkäys jotakin näistä kriittisen infrastruktuurin ryhmittymistä vastaan voisi laukaista merkittäviä systeemisiä riskejä. Asettamalla tehokkaimman tietoturvatyökalunsa suoraan elintärkeitä palveluita pyörittävien organisaatioiden käsiin yhtiö lyö vetoa sen puolesta, että laajamittainen ennakoiva puolustus voi päihittää pahantahtoiset toimijat .

Yksittäiset nimet uudesta aallosta havainnollistavat ohjelman maailmanlaajuista ulottuvuutta ja strategista syvyyttä. BeyondTrust, joka on johtava käyttöoikeuksiin keskittyvän identiteettiturvan tarjoaja, liittyi ohjelmaan 8. kesäkuuta 2026. Sen ohjelmistopohja on syvällä hallitusten ja elintärkeiden palveluiden rakenteissa, ja Mythos Preview -pääsyä käytetään nopeuttamaan haavoittuvuuksien löytämistä ja korjaamista yhtiön koko tuoteportfoliossa .

Muutamaa päivää aiemmin, 5. kesäkuuta, Hitachi ilmoitti osallistumisestaan. Japanilainen teollisuusjätti soveltaa Mythos Preview'tä yhteiskunnallisen infrastruktuurinsa ohjelmistoihin, jotka muodostavat digitaalisen perustan energiaverkoille, liikenneverkostoille ja kaupunki-infrastruktuurijärjestelmille .

Nämä kumppanit liittyvät olemassa olevaan joukkoon, johon kuuluvat muun muassa Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA ja Yhdysvaltain hallinnon virastot. Näin syntyy poikkitoimialainen puolustusliittouma, jolla on vain vähän historiallisia vastineita .

Malli, joka rikkoo kyberturvallisuuden säännöt

Project Glasswingin taustalla oleva strateginen kiireellisyys on suoraa seurausta Claude Mythos Preview'n hätkähdyttävistä kyvyistä. Kyseessä on julkaisematon huippumalli, jota Anthropicin oma dokumentaatio kuvaa "hämmästyttävän kyvykkääksi tietokoneiden tietoturvatehtävissä" . Malli ei ole pelkkä avustaja, vaan se toimii autonomisena haavoittuvuustutkijana ja hyväksikäyttökoodin kehittäjänä.

Sisäisessä testauksessaan Anthropic vahvisti, että Mythos Preview pystyi tunnistamaan ja sitten itse rakentamaan toimivia hyväksikäyttökoodeja nollapäivähaavoittuvuuksille jokaisessa merkittävässä käyttöjärjestelmässä ja jokaisessa merkittävässä verkkoselaimessa, kun käyttäjä niin ohjeisti . Sen tuotannon mittakaava jättää aiemmat vertailuarvot varjoonsa. Vertailutestissä Firefox 147:ää vastaan Mythos Preview tuotti 181 toimivaa JavaScript-komentotulkkihyökkäystä. Edellinen johtava malli, Claude Opus 4.6, tuotti kaksi .

Toukokuun 2026 loppuun mennessä Project Glasswing -kumppanit olivat käyttäneet mallia löytääkseen yli 10 000 vakavaa tai kriittistä tietoturva-aukkoa . Yksittäinen varhainen ajo Cloudflaressa toi esiin noin 400 kriittisen tason bugia, kun taas Mozilla käytti löydöksiä korjatakseen 271 haavoittuvuutta Firefox 150:ssä . Yli tuhannesta avoimen lähdekoodin projektista malli liputti 23 019 ongelmaa, ja ammattimaiset tietoturva-arvioijat vahvistivat 89 %:lle manuaalisesti tarkastetusta otoksesta saman vakavuusluokituksen .

Vuosikymmeniä vanhojen aukkojen paljastaminen

Mallin kyky löytää syvälle piilotettuja, vuosikymmeniä vanhoja vikoja on kenties sen vaikuttavin piirre. Silmiinpistävin esimerkki on 27 vuotta vanha etäpalvelunestohaavoittuvuus OpenBSD:ssä, jonka Mythos Preview paikansi. Tämä vika sijaitsi käyttöjärjestelmän TCP-pinossa ja salli palvelimen kaatamisen vain kahdella datapaketilla. OpenBSD tunnetaan yhtenä maailman tietoturvallisimmista käyttöjärjestelmistä ja sitä on tarkastettu äärimmäisen huolellisesti vuosikymmenten ajan. Siitä huolimatta vika oli piileskellyt kaikilta aina vuodesta 1998 lähtien . Kampanja, jossa tämä yksittäinen vika löytyi, maksoi Anthropicille noin 20 000 dollaria. Mallin ajo itse maksoi alle 50 dollaria .

Muita merkittäviä löydöksiä ovat 17 vuotta vanha etäsuoritushaavoittuvuus FreeBSD:n NFS-palvelimessa (CVE-2026-4747), joka antoi etähyökkääjälle täydet pääkäyttäjän oikeudet, sekä 16 vuotta vanha vika suositussa FFmpeg-multimediakirjastossa . Malli osoitti myös kykynsä ketjuttaa useita Linux-ytimen haavoittuvuuksia edetäkseen tavallisesta käyttäjästä täysiin ylläpitäjän oikeuksiin .

100 miljoonan dollarin tuki ja mallin pitäminen poissa julkisuudesta

Tietoisena mallin kaksikäyttöluonteesta Anthropic on sitoutunut pitämään Claude Mythos Preview'n yleisesti saatavilla olemattomana. Siihen pääsevät käsiksi vain Project Glasswingin kutsupohjaisen ohjelman osallistujat, jotka allekirjoittavat tiukat ehdot, jotka kieltävät hyökkäävän käytön .

Tukeakseen aloitetta Anthropic on sitoutunut jopa 100 miljoonan dollarin arvosta mallin käyttöhyvityksiä osallistuville organisaatioille. Tämä kattaa niiden laskennalliset kustannukset, kun ne skannaavat koodipohjiaan haavoittuvuuksien varalta . Lisäksi yhtiö lahjoittaa avoimen lähdekoodin tietoturvaryhmille 4 miljoonaa dollaria .

Päätös rajoittaa pääsyä oli jatkoa varsin poikkeukselliselle varoitukselle Anthropicilta itseltään. Yhtiö kuvaili mallin kykyä löytää ja hyödyntää tietoturva-aukkoja niin suureksi riskiksi, ettei sitä voi laajasti levittää . Toistaiseksi yli 99 % löydetyistä haavoittuvuuksista on yhä päivittämättä, joten Anthropic noudattaa vastuullista tiedonantokäytäntöä eikä paljasta yksityiskohtia .

Project Glasswing edustaa uutta aikakautta, jossa tekoäly ei ole enää vain reagoiva työkalu, vaan ennakoiva kilpi, joka työskentelee ihmisasiantuntijoiden rinnalla – ja yhä useammin heidän edellään – etsiäkseen ja paikatakseen digitaalisen maailmamme murtumakohtia ennen kuin on liian myöhäistä.