Implikasi yang lebih luas adalah bahwa jendela N-day tradisional—hitungan minggu atau bulan yang diandalkan oleh para pembela pertahanan antara rilis patch dan ketersediaan eksploit—telah runtuh secara efektif .
Dalam evaluasi terpisah namun terkait, Mythos memicu 13 dari 14 bug Windows yang telah diklasifikasikan Microsoft sebagai "tidak mungkin dieksploitasi", dan mengarahkan salah satu bug tersebut menjadi kendali sistem penuh . Peringkat "eksploitabilitas rendah" Microsoft saat ini mencakup 80 hingga 90% dari bug dengan tingkat keparahan kritis sekalipun, yang berarti kumpulan kerentanan yang dianggap mendesak oleh tim keamanan mungkin perlu diperluas sekitar 5 kali lipat
. Sistem peringkat yang dirancang untuk dunia di mana pengembangan eksploit membutuhkan tenaga ahli manusia selama berminggu-minggu, kini meremehkan ancaman dari AI otonom yang dapat menangani pekerjaan yang sama dalam hitungan menit.
Salah satu angka paling tidak nyaman dalam pengungkapan Anthropic adalah biayanya. Proses penemuan zero-day individu dilakukan dengan biaya di bawah $50 per upaya yang berhasil. Kampanye pemindaian penuh OpenBSD—ribuan kali proses—menghabiskan biaya sekitar $20.000 dan menemukan banyak kerentanan kritis, termasuk bug berusia 27 tahun di tumpukan TCP OpenBSD . Eksploitasi root N-day kernel Linux dibangun dengan biaya di bawah $2.000 per eksploit
. Total kampanye tim merah Anthropic tetap jauh di bawah $20.000 untuk penyisiran seluruh basis kode
.
Ini bukan anggaran setara negara adidaya. Ini adalah anggaran pengembang individu atau tim kecil, yang berarti hambatan untuk penemuan kerentanan canggih dan pengembangan eksploit telah turun drastis tepat pada saat kemampuan AI meningkat tajam .
Anthropic mengungkapkan Claude Mythos Preview pada 7–8 April 2026, menggambarkan model frontier yang secara otonom menemukan dan mengeksploitasi kerentanan zero-day di setiap sistem operasi utama dan peramban web, menemukan ribuan bug dengan tingkat keparahan tinggi, termasuk cacat yang luput dari tinjauan ahli selama puluhan tahun . Karena risiko penggunaan ganda yang ekstrem, Anthropic tidak merilis Mythos ke publik. Sebagai gantinya, perusahaan menciptakan Project Glasswing, sebuah inisiatif keamanan siber terkendali yang awalnya dibatasi untuk sekitar 50 organisasi mitra termasuk AWS, Apple, Cisco, Google, Microsoft, JPMorgan, dan Linux Foundation
.
Per Juni 2026, Glasswing berkembang menjadi sekitar 150 organisasi di lebih dari 15 negara, termasuk badan keamanan nasional di Australia, Inggris, dan beberapa negara UE serta Asia . Mitra menerima jendela patch eksklusif 90 hari sebelum temuan diungkapkan ke publik
. Pada akhir Mei 2026, Mythos telah menemukan lebih dari 10.000 kerentanan dengan tingkat keparahan tinggi atau kritis di seluruh perangkat lunak yang penting secara sistemik
.
Hanya kolaborasi Mozilla dengan Anthropic yang menghasilkan 271 kerentanan zero-day yang ditemukan dan diperbaiki di Firefox 150—kumpulan perbaikan keamanan tunggal terbesar dalam sejarah peramban itu .
Respons industri: Cisco bergabung dengan kelompok mitra Glasswing awal, bersama dengan perusahaan teknologi dan keamanan siber besar lainnya, mendapatkan akses awal ke Mythos untuk penemuan kerentanan defensif di perangkat lunak miliknya sendiri dan sumber terbuka . Kemitraan internal Mozilla dengan Anthropic mendahului peluncuran penuh Mythos, dan hasilnya—271 zero-day yang ditambal—menunjukkan potensi pertahanan ketika digunakan secara bertanggung jawab
.
Pemerintahan Trump: Respons kebijakan berlangsung penuh gejolak. Pada April 2026, Direktur Siber Nasional Sean Cairncross memimpin penjangkauan ke berbagai lembaga, tetapi pemotongan dana untuk CISA (Badan Keamanan Siber dan Infrastruktur AS) dan pertempuran politik internal mempersulit koordinasi . Pada 21 Mei, Trump membatalkan perintah eksekutif yang direncanakan yang akan mewajibkan laboratorium AI untuk menyerahkan model frontier untuk ditinjau pemerintah 90 hari sebelum rilis publik, mengatakan kepada wartawan bahwa ia tidak ingin apa pun memperlambat keunggulan Amerika atas China
.
Kurang dari dua minggu kemudian, pada 3 Juni, Trump menandatangani perintah eksekutif yang direvisi tentang inovasi AI dan keamanan siber yang menciptakan kerangka tinjauan sukarela 30 hari untuk model frontier baru—lebih ringan dari mandat 90 hari yang ditolak tetapi tetap merupakan pengakuan bahwa status quo tidak lagi memadai .
Sementara itu, lembaga-lembaga pemerintah termasuk Departemen Keuangan, Federal Reserve, dan Kantor Manajemen dan Anggaran bergegas untuk mendapatkan akses ke Mythos setelah peringatan April, dengan Departemen Keuangan menerima pengarahan darurat meskipun ada arahan Trump sebelumnya untuk menghentikan penggunaan teknologi Anthropic .
Kongres: OpenAI dan Anthropic mengadakan pengarahan tertutup dengan komite Keamanan Dalam Negeri DPR tentang ancaman siber bertenaga AI, menandai beberapa pengarahan ancaman keamanan siber AI khusus pertama untuk staf kongres .
Implikasi intinya jelas: era ketika rilis patch memberi para pembela pertahanan waktu bernapas selama berminggu-minggu telah berakhir, setidaknya melawan musuh yang memiliki akses ke AI frontier. Ketimpangannya sangat mencolok—perusahaan masih membutuhkan sekitar 70 hari untuk menambal, sementara AI dapat mempersenjatai celah yang sama dalam waktu kurang dari satu jam. Organisasi kini dipaksa untuk mempertimbangkan kembali kerentanan mana yang mereka anggap mendesak, bagaimana mereka memprioritaskan penambalan, dan apakah irama manajemen kerentanan mereka dapat bertahan di dunia di mana pengembangan eksploit telah menjadi murah, cepat, dan otomatis.