Project Glasswing: AI-modellen som hittade över 10 000 kritiska sårbarheter

Logiken är enkel. Anthropic har uppskattat att ett framgångsrikt cyberangrepp mot en av dessa samhällsbärande aktörer kan utlösa betydande systemrisker. Genom att ge den kraftfullaste säkerhetstekniken direkt till dem som driver våra mest grundläggande tjänster, satsar företaget på att storskaligt, proaktivt försvar kan springa snabbare än de illasinnade aktörerna .

Några av de nya namnen illustrerar både den globala räckvidden och det strategiska djupet:

• BeyondTrust, en ledare inom identitetssäkerhet med fokus på privilegierad åtkomst, gick med den 8 juni 2026. Deras kodbas är djupt integrerad i statliga it-system och centrala samhällstjänster. Tillgången till Mythos Preview ska snabba på både upptäckt och åtgärd av sårbarheter i hela deras produktportfölj .
• Bara dagar tidigare, den 5 juni, meddelade den japanska industrijätten Hitachi att de ansluter sig. De kommer att använda Mythos Preview för att stärka cybersäkerheten i sin mjukvara för samhällsinfrastruktur – den digitala grunden för energinät, transportsystem och urbana infrastrukturlösningar .

Dessa nya partners sällar sig till en redan imponerande skara: Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA och amerikanska myndigheter. Tillsammans bildar de ett unikt tvärindustriellt försvarssamarbete med få historiska motsvarigheter .

En modell som skriver om cybersäkerhetens regler

Den strategiska brådska som omgärdar Project Glasswing är en direkt reaktion på Claude Mythos Previews häpnadsväckande kapacitet. Anthropics egen dokumentation beskriver den icke-lanserade modellen som "slående kapabel inom datorsäkerhet" . Det handlar inte om en digital assistent. Modellen agerar som en autonom sårbarhetsforskare och exploit-utvecklare.

I interna tester bekräftade Anthropic att Mythos Preview, på användarens instruktion, kunde identifiera och därefter självständigt konstruera fungerande exploits för noll-dagars sårbarheter i samtliga större operativsystem och samtliga större webbläsare . Omfattningen av dess produktion får tidigare riktmärken att blekna. I ett jämförande test mot Firefox 147 skapade Mythos Preview 181 fungerande JavaScript-exploits. Den tidigare toppmodellen, Claude Opus 4.6, lyckades ta fram två .

I slutet av maj 2026 hade partners inom Project Glasswing använt modellen för att identifiera över 10 000 säkerhetsbrister av hög eller kritisk allvarlighetsgrad . En enda tidig körning hos Cloudflare identifierade runt 400 kritiska buggar, medan Mozilla använde fynden för att täppa till 271 sårbarheter i Firefox 150 . I över 1 000 open source-projekt flaggade modellen 23 019 problem, där oberoende säkerhetsexperter bekräftade allvarlighetsgraden för 89 procent av ett manuellt granskat urval .

En 27 år gammal bugg och avslöjandet av decenniegamla sårbarheter

Ett av de mest iögonfallande fynden understryker hur denna AI förändrar spelplanen. Mythos Preview upptäckte ett fel i operativsystemet OpenBSD – ett system som är ökänt för sin säkerhet och ständigt granskas av experter. Buggen, som fanns i implementeringen av TCP SACK, var hela 27 år gammal. Sårbarheten gjorde det möjligt för en angripare att krascha vilken oskyddad server som helst genom att skicka endast två datapaket .

Kostnaden för den specifika AI-körningen som avslöjade felet var under 50 dollar . Detta kan jämföras med de miljontals dollar och tusentals mantimmar som lagts på mänskliga säkerhetsgranskningar genom åren, utan att hitta denna enkla men förödande brist.

Andra anmärkningsvärda upptäckter inkluderar:

• En 17 år gammal sårbarhet i operativsystemet FreeBSD:s NFS-implementation (CVE-2026-4747), vilken kunde ge en oautentiserad användare fullständig root-åtkomst – den högsta administrativa behörighetsnivån – till en server från internet .
• En 16 år gammal bugg i mediehanteringsbiblioteket FFmpeg .
• Ett minneskorrumperande fel i en virtuell maskinövervakare, mjukvara som specifikt utformats för att vara minnessäker .

En återhållsam kraft och en check på 100 miljoner dollar

Trots – eller snarare på grund av – denna enorma kapacitet har Anthropic valt att hålla Claude Mythos Preview generellt otillgänglig. Tillgång ges enbart genom det inbjudningsbaserade programmet Project Glasswing, och deltagarna måste skriva under strikta avtal som förbjuder användning i offensivt syfte . Beslutet föregicks av en ovanlig offentlig varning från Anthropic själva, som framhöll att modellens förmåga att hitta och utnyttja säkerhetshål skulle innebära allvarliga risker vid en bred lansering .

För att stötta denna defensiva kraftsamling har Anthropic förbundit sig att bidra med upp till 100 miljoner dollar i användningskrediter för modellen. Dessa täcker datorkostnaderna för partnerorganisationernas genomsökning av sina kodbaser . Företaget har även, utöver de 100 miljonerna, donerat 4 miljoner dollar direkt till säkerhetsgrupper inom open source-rörelsen .

Genom att agera som en kontrollerad testmiljö och försvarsresurs försöker Project Glasswing vända AI-modellens dubbla natur till en odelat positiv kraft. Strategin är att låta den exceptionella förmågan att hitta sårbarheter tjäna de goda krafterna – och förhoppningsvis hinna före dem som skulle använda den för att attackera.