AI, która znalazła 27-letniego buga w OpenBSD. Projekt Glasswing Anthropica wkracza w globalną infrastrukturę krytyczną

Powód jest prosty. Anthropic oszacował, że udany cyberatak na jedną z tych grup infrastruktury krytycznej mógłby wywołać ogromne ryzyko systemowe. Umieszczając swoje najpotężniejsze narzędzie bezpieczeństwa bezpośrednio w rękach organizacji zarządzających usługami niezbędnymi do życia, firma stawia na to, że proaktywna obrona na masową skalę jest w stanie wyprzedzić cyberprzestępców .

Konkretne nazwiska z nowej fali partnerów pokazują globalny zasięg i strategiczną głębię programu. BeyondTrust, lider w dziedzinie bezpieczeństwa tożsamości opartego na uprawnieniach, dołączył 8 czerwca 2026 roku. Jego kod jest głęboko osadzony w systemach rządowych i usługach kluczowych, a dostęp do Mythos Preview ma przyspieszyć wykrywanie i usuwanie luk w całym portfolio produktów firmy .

Kilka dni wcześniej, 5 czerwca, swój udział ogłosiło Hitachi. Japoński gigant przemysłowy wykorzysta Mythos Preview do analizy swojego oprogramowania dla infrastruktury społecznej – cyfrowego fundamentu sieci energetycznych, transportowych i systemów miejskich .

Partnerzy ci dołączają do istniejącej listy, na której znajdują się Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA oraz agencje rządu USA, tworząc międzysektorową koalicję obronną, mającą niewiele precedensów w historii .

Model, który łamie zasady cyberbezpieczeństwa

Strategiczna pilność Projektu Glasswing jest bezpośrednią odpowiedzią na oszałamiające możliwości modelu Claude Mythos Preview, który w dokumentacji Anthropica został opisany jako „uderzająco skuteczny w zadaniach z zakresu bezpieczeństwa komputerowego” . Nie jest on zwykłym asystentem. Działa jako autonomiczny badacz podatności i twórca exploitów.

Podczas wewnętrznych testów Anthropic potwierdził, że Mythos Preview potrafi identyfikować, a następnie samodzielnie konstruować działające exploity dla luk zero-day w każdym głównym systemie operacyjnym i każdej większej przeglądarce internetowej, gdy użytkownik wyda mu takie polecenie . Skala jego działania przyćmiewa wcześniejsze testy porównawcze. W teście przeciwko przeglądarce Firefox 147, Mythos Preview wygenerował 181 działających exploitów w JavaScript. Dla porównania, najlepszy poprzedni model, Claude Opus 4.6, stworzył ich dwa .

Do końca maja 2026 roku partnerzy Projektu Glasswing wykorzystali model do zidentyfikowania ponad 10 000 luk o wysokim lub krytycznym stopniu zagrożenia . Pojedyncze, wczesne uruchomienie w Cloudflare ujawniło około 400 krytycznych błędów, podczas gdy Mozilla użyła wyników do załatania 271 podatności w Firefoksie 150 . W ponad 1000 projektów open-source model oznaczył 23 019 problemów, a profesjonalni kontraktorzy bezpieczeństwa potwierdzili ocenę dotkliwości w 89% z ręcznie zweryfikowanej próbki .

Odkrywanie dekadami ukrytych błędów za mniej niż 50 dolarów

Najbardziej spektakularnym znaleziskiem jest 27-letnia luka w OpenBSD – systemie operacyjnym słynącym ze swojego bezpieczeństwa i poddawanym najbardziej rygorystycznym audytom w branży. Błąd tkwił w implementacji protokołu TCP SACK. Do jego wykorzystania wystarczyły zaledwie dwa pakiety danych, aby zdalnie zawiesić dowolny niezałatany serwer. Przez lata nie znalazł go żaden człowiek. Mythos Preview zrobił to autonomicznie. Koszt kampanii odkrywczej Anthropica, która wypatrzyła tę lukę, wyniósł około 20 000 dolarów. Ale konkretne uruchomienie modelu, które ją wykryło, kosztowało mniej niż 50 dolarów .

Oprócz błędu w OpenBSD, model odkrył m.in. 17-letnią lukę we FreeBSD, umożliwiającą zdalne wykonanie kodu w serwerze NFS i dającą nieuwierzytelnionemu atakującemu pełny dostęp administratorski do serwera (CVE-2026-4747), oraz 16-letnią wadę w popularnym kodeku FFmpeg .

Dlaczego nie możesz sam użyć tego modelu?

Anthropic od początku jasno stawiał sprawę: Mythos Preview jest zbyt niebezpieczny, by go upublicznić. Firma opublikowała własne, bezprecedensowe ostrzeżenie, w którym podkreśliła, że model "przewyższa wszystkich poza najbardziej wykwalifikowanymi ludźmi w znajdowaniu i wykorzystywaniu luk w oprogramowaniu" . Z tego powodu dostęp do niego jest możliwy tylko w ramach zaproszeniowego programu Projektu Glasswing, a uczestnicy podpisują ścisłe warunki zakazujące ofensywnego użycia .

Aby wesprzeć tę defensywną misję, Anthropic zobowiązał się do przekazania do 100 milionów dolarów w kredytach na korzystanie z modelu, które pokrywają koszty obliczeniowe skanowania kodu źródłowego przez organizacje partnerskie . Firma uruchomiła również nową politykę ujawniania luk, dostosowaną do skali maszynowego odkrywania błędów .

Projekt Glasswing to wyścig z czasem. Anthropic szacuje, że ponad 99% odkrytych przez model luk pozostaje wciąż niezałatanych, dlatego informacje o nich są wstrzymywane zgodnie z zasadami odpowiedzialnego ujawniania . Inicjatywa ta to zakład, że połączone siły AI i globalnego przemysłu są w stanie naprawić fundamenty cyfrowego świata, zanim zrobią to ci, którzy chcą je zniszczyć.