Di Sebalik Project Glasswing Anthropic: AI Yang Menemui Pepijat OpenBSD Berusia 27 Tahun

Alasannya mudah. Anthropic menganggarkan bahawa satu serangan siber yang berjaya ke atas mana-mana kumpulan infrastruktur kritikal ini boleh mencetuskan risiko sistemik yang besar. Dengan meletakkan alat keselamatan paling berkuasanya terus ke tangan organisasi yang mengendalikan perkhidmatan penting, syarikat itu bertaruh bahawa pertahanan proaktif secara besar-besaran boleh memintas pelaku jahat .

Nama-nama khusus daripada gelombang baharu ini menggambarkan jangkauan global dan kedalaman strategik program ini. BeyondTrust, peneraju dalam keselamatan identiti berpusatkan keistimewaan, menyertainya pada 8 Jun 2026. Pangkalan kodnya tertanam dalam kerajaan dan perkhidmatan penting, dan akses kepada Mythos Preview akan digunakan untuk mempercepat penemuan dan pemulihan kerentanan di seluruh portfolio produknya .

Beberapa hari sebelumnya, pada 5 Jun, Hitachi mengumumkan penyertaannya. Gergasi perindustrian Jepun itu akan menggunakan Mythos Preview untuk perisian infrastruktur sosialnya, asas digital yang menyokong grid tenaga, rangkaian pengangkutan, dan sistem infrastruktur bandar .

Rakan kongsi ini menyertai senarai sedia ada yang merangkumi Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA, dan agensi kerajaan A.S., mewujudkan satu gabungan pertahanan merentas industri dengan sedikit preseden sejarah .

Model yang Memecahkan Peraturan Keselamatan Siber

Desakan strategik di sebalik Project Glasswing adalah tindak balas langsung kepada keupayaan mengejutkan Claude Mythos Preview, model frontier yang belum dilancarkan dan digambarkan oleh dokumentasi Anthropic sendiri sebagai “sangat berkebolehan dalam tugas keselamatan komputer” . Model ini bukan sekadar pembantu. Ia beroperasi sebagai penyelidik kerentanan dan pembangun eksploitasi autonomi.

Semasa ujian dalaman, Anthropic mengesahkan bahawa Mythos Preview boleh mengenal pasti dan kemudian membina eksploitasi berfungsi secara autonomi untuk kerentanan zero-day dalam setiap sistem pengendalian utama dan setiap pelayar web utama apabila diarahkan oleh pengguna . Skala outputnya mengerdilkan penanda aras sebelumnya. Dalam ujian perbandingan terhadap Firefox 147, Mythos Preview menghasilkan 181 eksploitasi shell JavaScript yang berfungsi. Sebagai perbandingan, model peneraju sebelumnya, Claude Opus 4.6, menghasilkan dua .

Menjelang akhir Mei 2026, rakan kongsi Project Glasswing telah menggunakan model ini untuk mengenal pasti lebih daripada 10,000 kelemahan keselamatan berperingkat tinggi atau kritikal . Satu ujian awal di Cloudflare menemui kira-kira 400 pepijat berperingkat kritikal, manakala Mozilla menggunakan penemuan itu untuk menampal 271 kerentanan dalam Firefox 150 . Merentasi lebih daripada 1,000 projek sumber terbuka, model itu membenderakan 23,019 isu, dengan kontraktor keselamatan profesional mengesahkan penarafan keterukan untuk 89% daripada sampel yang disemak secara manual .

Menyingkap Pepijat Berdekad Lamanya

Penemuan yang paling menakjubkan adalah pepijat berusia 27 tahun yang terpendam dalam tindanan TCP OpenBSD, sebuah sistem pengendalian yang terkenal dengan postur keselamatannya yang ketat . Kerentanan dalam pelaksanaan Selective Acknowledgement (SACK) ini, yang berasal dari kod yang ditulis pada tahun 1998, hanya memerlukan dua paket untuk melumpuhkan mana-mana pelayan yang tidak ditampal . Ia terselamat daripada berdekad-dekad audit manusia, ujian fuzzing, dan reputasi sebagai salah satu platform paling teguh di dunia .

Mythos Preview juga mendedahkan kerentanan pelaksanaan kod jauh berusia 17 tahun dalam pelayan NFS FreeBSD (CVE-2026-4747) yang memberikan akses root tanpa pengesahan, serta kelemahan berusia 16 tahun dalam FFmpeg . Dalam kes FreeBSD, model itu membina rantaian eksploitasi dengan kerumitan yang menyaingi penyelidik keselamatan peringkat atasan .

Pertahanan Proaktif, Bukan Akses Awam

Pendirian Anthropic adalah jelas: model ini terlalu berbahaya untuk kegunaan umum. Dokumen syarikat itu dengan jelas menyatakan Claude Mythos Preview tidak tersedia untuk pendaftaran sendiri dan hanya boleh diakses melalui program jemputan Project Glasswing, dengan peserta menandatangani syarat ketat yang melarang penggunaan ofensif .

Untuk menyokong inisiatif ini secara mampan, Anthropic komited menyediakan kredit penggunaan model bernilai sehingga $100 juta, meliputi kos pengiraan untuk rakan kongsi mengimbas pangkalan kod mereka. Tambahan $4 juta dalam bentuk derma turut diperuntukkan kepada kumpulan keselamatan sumber terbuka . Syarikat itu telah menggandingkan program ini dengan dasar pendedahan baharu yang direka untuk penemuan kerentanan berskala mesin, membolehkan beribu-ribu kelemahan didedahkan secara bertanggungjawab kepada pembangun sebelum pelaku jahat boleh mengeksploitasinya .

Ketika dunia bergelut dengan implikasi AI yang boleh menggodam apa sahaja, Project Glasswing berdiri sebagai percubaan bersejarah untuk mempersenjatai pihak ‘baik’ dengan alat yang lebih tajam daripada yang dimiliki pihak ‘jahat’. Sama ada tembok pertahanan ini akan bertahan adalah persoalan yang akan menentukan dekad seterusnya dalam keselamatan siber.