Anthropic hlási v Project Glasswing tisíce vážnych zraniteľností nájdených pomocou Claude Mythos

Anthropic zverejnil prvú väčšiu aktualizáciu Project Glasswing, programu, ktorý má preverovať kritický softvér skôr, než čoraz schopnejšie AI modely začnú rovnaké chyby využívať útočníci. Firma tvrdí, že spolu s približne päťdesiatimi partnermi použila Claude Mythos Preview na nájdenie viac ako desaťtisíc vysoko alebo kriticky závažných zraniteľností v systémovo dôležitých projektoch. Je to silné tvrdenie, ale ešte dôležitejšia je zmena problému: podľa Anthropic už úzke miesto neleží v samotnom hľadaní chýb, ale v overovaní, koordinovanom zverejnení a oprave.

Project Glasswing bol od začiatku postavený ako obranný program. Partneri majú hľadať chyby vo vlastnom alebo kritickom softvéri, nie verejne demonštrovať nové útočné schopnosti. Anthropic preto v aktualizácii neuvádza detailné reprodukčné postupy pre zraniteľnosti, ktoré ešte nemusia byť opravené. Odvoláva sa na bežnú prax koordinovaného zverejňovania, kde sa chyby zvyčajne publikujú až po tom, čo správcovia dostanú čas na opravy a používatelia možnosť aktualizovať systémy.

Zaujímavé sú konkrétne signály z prvého mesiaca. Anthropic píše, že väčšina partnerov našla stovky kritických alebo vysoko závažných zraniteľností a že niektorí hlásia viac ako desaťnásobné zrýchlenie hľadania chýb. V texte sa objavuje aj príklad Cloudflare, ktorý mal podľa Anthropic nájsť približne dvetisíc chýb v systémoch na kritickej ceste, z toho okolo štyristo vo vysokej alebo kritickej závažnosti. Firma zároveň spomína spätnú väzbu od externých testerov a výsledky v kybernetických cvičných prostrediach.

Pre bezpečnostné tímy je hlavné poučenie nepríjemné, ale praktické. Ak AI výrazne zrýchli vyhľadávanie zraniteľností, nestačí pridať ďalší nástroj do bug bounty procesu. Organizácia musí mať pripravený proces triáže, bezpečného reportovania, priorizácie a patchovania. Inak sa nový nálezový kanál zmení na front neoverených hlásení, ktorý môže zahltiť správcov a oddialiť opravy práve tam, kde sú najdôležitejšie.

Správa tiež naznačuje, ako sa mení hranica medzi obranným a rizikovým využitím AI. Model, ktorý dokáže pomôcť nájsť tisíce vážnych chýb, je pre obrancov mimoriadne cenný. Zároveň však ide o schopnosť, ktorá by pri zlom prístupe mohla zrýchliť aj útočníkov. Anthropic preto píše opatrne o budúcom uvoľňovaní modelov triedy Mythos a o tom, že detailnejšie informácie poskytne až po rozšírení opráv. Tento opatrný tón je dôležitý: pri kybernetických modeloch nestačí benchmark, treba riešiť aj distribúciu schopností.

Pre dodávateľov softvéru bude Project Glasswing testom zrelosti. V tradičnom režime bolo možné bezpečnostný dlh skrývať za pomalé ručné testovanie. Ak sa však automatizované vyhľadávanie chýb stane lacnejším a účinnejším, verejnosť, zákazníci aj regulátori budú očakávať rýchlejšiu reakciu. To môže zvýhodniť projekty s dobrým vydávacím procesom, reprodukovateľnými buildmi, jasnými vlastníkmi komponentov a otvorenou komunikáciou o bezpečnostných opravách.

Z pohľadu trhu s AI ide zároveň o posun Anthropic mimo klasické chatovacie a kancelárske scenáre. Firma ukazuje Claude ako nástroj na špecializované, vysokorizikové úlohy, kde sa hodnota nemeria počtom napísaných odsekov, ale schopnosťou nájsť chyby s reálnym dopadom. Ak sa takéto modely budú používať v uzavretých obranných partnerstvách, vznikne nová kategória AI služieb: nie všeobecný asistent pre všetkých, ale kontrolovaný nástroj pre kritickú infraštruktúru.

Záver je preto dvojitý. Project Glasswing je pozitívna správa, ak jeho výsledky povedú k rýchlym opravám v softvéri, od ktorého závisí internet a priemysel. Zároveň je varovaním, že bezpečnostné tímy budú musieť modernizovať procesy rovnako rýchlo ako modely. Keď sa nájdenie chyby zrýchli desaťnásobne, pomalé zostávajú ľudské a organizačné kroky: rozhodnúť, čo je skutočné, komu to patrí, ako to opraviť a kedy to bezpečne oznámiť svetu.