Den bredare implikationen är att det traditionella N-dagarsfönstret – de veckor eller månader som försvarare tidigare räknat med mellan patchsläpp och tillgänglig exploit – i praktiken har kollapsat .
I en separat men relaterad utvärdering utlöste Mythos 13 av 14 Windows-buggar som Microsoft själva klassificerat som "osannolika att exploateras", och i ett av fallen uppnåddes fullständig systemkontroll . Microsofts kategori för "låg exploateringsrisk" omfattar idag 80 till 90 procent av även de mest kritiska säkerhetsbristerna. Detta innebär att den mängd sårbarheter som säkerhetsteam betraktar som akuta kan behöva utökas med ungefär fem gånger
. Betygssystemet, som utformades för en värld där exploitutveckling krävde veckor av kvalificerat mänskligt arbete, underskattar nu hotet från en autonom AI som kan utföra samma jobb på minuter.
En av de mest obekväma siffrorna i Anthropics avslöjanden är kostnaden. Enskilda noll-dagarsupptäckter kostade under 50 kronor per lyckat försök. En fullständig skanningskampanj av OpenBSD – tusentals försök – kostade cirka 200 000 kronor och avslöjade flera kritiska sårbarheter, inklusive en 27 år gammal bugg i OpenBSDs TCP-stack . Root-exploitar för N-dagarssårbarheter i Linux-kärnan byggdes för under 20 000 kronor styck
. Anthropics totala red team-kampanj låg stadigt under 200 000 kronor för fullständiga genomsökningar av kodbaser
.
Det här är inte budgetar för nationalstater. Det är budgetar för individuella utvecklare eller små team, vilket innebär att tröskeln för sofistikerad sårbarhetsupptäckt och exploitutveckling har sänkts dramatiskt i precis samma ögonblick som AI-förmågorna har stigit kraftigt .
Anthropic offentliggjorde Claude Mythos Preview den 7–8 april 2026. Företaget beskrev en avancerad AI-modell som självständigt upptäckte och exploaterade noll-dagarsårbarheter i samtliga större operativsystem och webbläsare, och hittade tusentals allvarliga buggar, inklusive sådana som överlevt årtionden av expertgranskning . På grund av den extrema risken för dubbel användning har Anthropic inte släppt Mythos offentligt. Istället skapade de Project Glasswing, ett kontrollerat cybersäkerhetsinitiativ som initialt var begränsat till ett 50-tal partnerorganisationer, inklusive AWS, Apple, Cisco, Google, Microsoft, JPMorgan och Linux Foundation
.
Från och med juni 2026 utökades Glasswing till omkring 150 organisationer i över 15 länder, inklusive nationella säkerhetsmyndigheter i Australien, Storbritannien samt flera EU- och asiatiska länder, däribland Sverige . Partnerorganisationerna får ett 90-dagars exklusivt patchfönster innan upptäckterna offentliggörs
. I slutet av maj 2026 hade Mythos hittat över 10 000 säkerhetsbrister av hög eller kritisk allvarlighetsgrad i systemkritiska mjukvaror
.
Mozillas samarbete med Anthropic resulterade ensamt i att 271 noll-dagarsårbarheter hittades och åtgärdades i Firefox 150 – den största enskilda säkerhetsuppdateringen i webbläsarens historia .
Branschens svar: Cisco anslöt sig till den första gruppen av Glasswing-partners, tillsammans med andra stora teknik- och cybersäkerhetsföretag, och fick tidig tillgång till Mythos för defensiv sårbarhetsjakt i sin egen programvara och i öppen källkod . Mozillas interna partnerskap med Anthropic föregick den fullständiga Mythos-lanseringen, och resultatet – 271 åtgärdade noll-dagar – visar den defensiva potentialen när modellen används på ett ansvarsfullt sätt
.
Trumpadministrationen: Policyresponsen var turbulent. I april 2026 ledde Sean Cairncross, nationell cybersäkerhetsdirektör, myndighetsutskicken, men nedskärningar i finansieringen av CISA (USA:s cybersäkerhetsmyndighet) och interna politiska strider försvårade samordningen . Den 21 maj skrotade Donald Trump en planerad presidentorder som skulle ha krävt att AI-labb lämnade in avancerade modeller för statlig granskning 90 dagar före offentligt släpp. Han sade till reportrar att han inte ville ha något som bromsade USA:s ledning över Kina
.
Mindre än två veckor senare, den 3 juni, undertecknade Trump en reviderad presidentorder om AI-innovation och cybersäkerhet. Ordern skapade ett frivilligt ramverk för 30-dagarsgranskning av nya avancerade modeller – en lättare variant än det ratade 90-dagarsmandatet, men ändå ett erkännande av att status quo var otillräckligt .
Samtidigt skyndade sig flera myndigheter, inklusive finansdepartementet (Treasury), centralbanken (Federal Reserve) och budgetstyrelsen (OMB), att få tillgång till Mythos efter varningarna i april. Finansdepartementet fick nödbriefingar, trots ett tidigare Trump-direktiv om att upphöra med all användning av Anthropics teknologi .
Kongressen: OpenAI och Anthropic höll stängda briefingar för representanthusets utskott för inrikessäkerhet om AI-drivna cyberhot. Detta var några av de första dedikerade briefingarna om AI-hot inom cybersäkerhet för kongresspersonal .
Den centrala slutsatsen är tydlig: eran där en patch gav försvarare veckor av andrum är över, åtminstone mot motståndare med tillgång till avancerad AI. Asymmetrin är skarp – företag tar fortfarande ungefär 70 dagar på sig att patcha, medan AI kan beväpna samma brister på under en timme. Organisationer tvingas nu ompröva vilka sårbarheter de betraktar som akuta, hur de prioriterar patchning och om deras grundläggande rutiner för sårbarhetshantering kan överleva i en värld där exploitutveckling har blivit billig, snabb och automatiserad.