Szersza implikacja jest jednoznaczna: tradycyjne okno N-day – te tygodnie lub miesiące, na które liczyli obrońcy od momentu wydania łatki do pojawienia się exploita – praktycznie przestało istnieć .
W osobnym, ale powiązanym teście, Mythos uruchomił exploity dla 13 z 14 błędów Windows, które Microsoft sklasyfikował jako „mało prawdopodobne do wykorzystania”, a jeden z nich doprowadził do pełnej kontroli nad systemem . Kategoria „niskiej podatności na exploit” Microsoftu obejmuje obecnie od 80 do 90% nawet krytycznych luk. Oznacza to, że zestaw błędów traktowanych przez zespoły bezpieczeństwa jako pilne może wymagać rozszerzenia nawet pięciokrotnie
. System ocen zaprojektowany z myślą o świecie, w którym tworzenie exploita wymagało tygodni pracy ekspertów, jest dziś niedostosowany do zagrożenia ze strony autonomicznej AI, która tę samą pracę wykonuje w kilka minut.
Jednym z najbardziej szokujących aspektów ujawnionych danych są koszty. Pojedyncze udane znalezienie exploita kosztowało poniżej 50 dolarów. Pełna kampania skanowania systemu OpenBSD – tysiące uruchomień – kosztowała około 20 000 dolarów i ujawniła wiele krytycznych luk, w tym 27-letni błąd w stosie TCP OpenBSD . Budowa exploita root dla jądra Linux (N-day) kosztowała poniżej 2000 dolarów
. Całkowity koszt kampanii testowej Anthropica pozostał znacząco poniżej 20 000 dolarów za przeczesanie całych baz kodu
.
Nie są to budżety państwowe. To budżety pojedynczych programistów lub małych zespołów. Oznacza to, że bariera wejścia do zaawansowanego wyszukiwania luk i tworzenia exploitów drastycznie spadła akurat w momencie, gdy możliwości AI gwałtownie wzrosły .
Anthropic ujawnił istnienie Claude Mythos Preview w dniach 7–8 kwietnia 2026 roku. Opisał go jako model frontiery, który samodzielnie odkrywa i wykorzystuje luki zero-day w każdym głównym systemie operacyjnym i przeglądarce internetowej, znajdując tysiące błędów o wysokim stopniu krytyczności, w tym takie, które przetrwały dekady eksperckich przeglądów . Ze względu na ekstremalne ryzyko podwójnego zastosowania, firma nie udostępniła Mythosa publicznie. Zamiast tego stworzyła Projekt Glasswing (ang. Project Glasswing) – kontrolowaną inicjatywę cyberbezpieczeństwa, początkowo ograniczoną do około 50 organizacji partnerskich, w tym AWS, Apple, Cisco, Google, Microsoft, JPMorgan i Linux Foundation
.
W czerwcu 2026 roku Glasswing rozszerza działalność na około 150 organizacji w ponad 15 krajach, obejmując agencje bezpieczeństwa narodowego w Australii, Wielkiej Brytanii i kilku krajach UE i Azji . Partnerzy otrzymują 90-dniowe wyłączne okno na łatanie przed publicznym ujawnieniem wyników
. Do końca maja 2026 Mythos znalazł już ponad 10 000 luk o wysokim lub krytycznym stopniu zagrożenia w kluczowym dla światowej infrastruktury oprogramowaniu
.
Sama współpraca Mozilli z Anthropicem zaowocowała znalezieniem i załataniem 271 luk zero-day w Firefoksie 150 – to największa pojedyncza partia poprawek bezpieczeństwa w historii tej przeglądarki .
Reakcja branży: Cisco dołączyło do grona pierwszych partnerów Glasswing, podobnie jak inne duże firmy technologiczne i cyberbezpieczeństwa, uzyskując wczesny dostęp do Mythosa w celu defensywnego wykrywania luk w swoim oraz otwartym oprogramowaniu . Wewnętrzne partnerstwo Mozilli z Anthropiciem poprzedzało pełne wdrożenie Mythosa, a jego efekt – 271 załatanych luk zero-day – pokazało potencjał obronny przy odpowiedzialnym użyciu
.
Administracja Trumpa: Odpowiedź polityczna była burzliwa. W kwietniu 2026 roku Narodowy Dyrektor ds. Cyberbezpieczeństwa (National Cyber Director) Sean Cairncross kierował działaniami informacyjnymi wobec agencji, ale cięcia finansowe w CISA (Agencji ds. Cyberbezpieczeństwa i Infrastruktury) i wewnętrzne spory polityczne skomplikowały koordynację . 21 maja Trump odwołał planowane rozporządzenie wykonawcze, które wymagałoby od laboratoriów AI przedkładania modeli frontiery do przeglądu rządowego na 90 dni przed publicznym wydaniem. Powiedział reporterom, że nie chce niczego, co spowolni amerykańską przewagę nad Chinami
.
Niecałe dwa tygodnie później, 3 czerwca, Trump podpisał zmienione rozporządzenie wykonawcze o innowacjach AI i cyberbezpieczeństwie. Utworzyło ono dobrowolny 30-dniowy system przeglądu dla nowych modeli frontiery – łagodniejszy niż odrzucony mandat 90-dniowy, ale wciąż będący uznaniem, że status quo jest niewystarczający .
Tymczasem agencje administracji, w tym Departament Skarbu (Treasury), Rezerwa Federalna (Federal Reserve) i Biuro Zarządzania i Budżetu (Office of Management and Budget), rzuciły się, by uzyskać dostęp do Mythosa po kwietniowych ostrzeżeniach. Departament Skarbu otrzymał awaryjne briefingi, mimo wcześniejszej dyrektywy Trumpa o zaprzestaniu korzystania z technologii Anthropica .
Kongres: OpenAI i Anthropic przeprowadziły zamknięte briefingi dla Komisji Bezpieczeństwa Wewnętrznego Izby Reprezentantów na temat cyberzagrożeń napędzanych przez AI. Były to jedne z pierwszych dedykowanych briefingów o zagrożeniach AI dla pracowników Kongresu .
Główny wniosek jest jasny: era, w której wydanie łatki dawało obrońcom tygodnie wytchnienia, skończyła się – przynajmniej w konfrontacji z przeciwnikami mającymi dostęp do zaawansowanej AI. Asymetria jest rażąca – firmy wciąż potrzebują średnio około 70 dni na wdrożenie poprawek, podczas gdy AI może uzbroić te same luki w mniej niż godzinę. Organizacje są teraz zmuszone do ponownego przemyślenia, które luki traktują jako pilne, jak priorytetyzują łatanie i czy ich rytm zarządzania podatnościami może przetrwać w świecie, gdzie tworzenie exploitów stało się tanie, szybkie i zautomatyzowane.