Project Glasswing: Anthropic tvrdí, že AI model Mythos Preview našel tisíce kritických zranitelností

Společnost Anthropic zveřejnila první podrobnosti o projektu Project Glasswing, iniciativě zaměřené na vyhledávání zranitelností v kritickém softwaru pomocí pokročilých AI modelů.

Podle zveřejněných informací se do projektu zapojilo přibližně 50 partnerů a během prvního měsíce využili model Claude Mythos Preview k nalezení více než 10 000 kritických nebo vysoce závažných zranitelností. Anthropic zároveň uvádí, že současným limitem už není samotné hledání chyb, ale schopnost lidí tyto zranitelnosti ověřit, nahlásit a opravit.

Anthropic popisuje výrazné zrychlení hledání zranitelností

Firma tvrdí, že řada partnerů zaznamenala výrazně vyšší tempo objevování chyb než při běžném manuálním testování.

Například společnost Cloudflare měla podle Anthropic pomocí Mythos Preview najít přes 2 000 chyb ve svých kritických systémech, z toho přibližně 400 s vysokou nebo kritickou závažností. Společnost zároveň údajně uvedla, že počet falešně pozitivních nálezů byl nižší než u běžného lidského testování.

Podobné výsledky podle Anthropic hlásí i další organizace:

AI Security Institute ve Velké Británii uvedl, že Mythos Preview jako první model dokázal kompletně vyřešit oba jejich kybernetické „ranges“ simulující vícefázové útoky.

Mozilla během testování modelu opravila 271 zranitelností ve Firefoxu 150, což je podle Anthropic více než desetinásobek oproti předchozím testům s modelem Claude Opus 4.6.

Bezpečnostní platforma XBOW označila Mythos Preview za výrazný posun oproti dosavadním modelům a vyzdvihla zejména jeho přesnost při analýze exploitů.

Řada těchto tvrzení však zatím pochází přímo od Anthropic nebo jeho partnerů a detailní technické informace k většině nalezených zranitelností zatím nebyly zveřejněny. Firma argumentuje tím, že kvůli koordinovanému procesu zveřejňování zranitelností nechce publikovat detaily dříve, než budou dostupné opravy.

Přes 6 tisíc kritických nálezů v open source projektech

Anthropic zároveň uvedl, že během několika měsíců analyzoval více než 1 000 open source projektů.

Model zde podle firmy identifikoval přes 23 tisíc potenciálních zranitelností, z nichž více než 6 200 bylo označeno jako vysoce závažné nebo kritické.

Z dosud manuálně ověřených 1 752 nálezů se podle Anthropic potvrdilo přes 90 % jako validní chyby. Přibližně 62 % z nich bylo skutečně klasifikováno jako high nebo critical severity.

Jedním z konkrétních případů měla být chyba v knihovně wolfSSL, která je používána miliardami zařízení po celém světě. Anthropic tvrdí, že AI model vytvořil exploit umožňující falšování certifikátů, což by potenciálně mohlo umožnit vytváření důvěryhodně vypadajících phishingových stránek například bank nebo e mailových služeb.

Zranitelnost dostala označení CVE 2026 5194 a již byla opravena.

Maintaineři open source projektů nestíhají reagovat

Anthropic zároveň upozorňuje na praktický problém celého procesu: lidské kapacity.

Podle firmy maintainers open source projektů čelí velkému množství AI generovaných reportů, z nichž část bývá nekvalitní nebo obtížně ověřitelná. Někteří maintainers údajně požádali Anthropic o zpomalení tempa hlášení nových chyb, protože nestíhají připravovat opravy.

Průměrná doba opravy kritické zranitelnosti nalezené pomocí Mythos Preview se podle firmy aktuálně pohybuje okolo dvou týdnů.

Anthropic zároveň uvedl, že z dosud nahlášených 530 vysoce závažných nebo kritických zranitelností bylo zatím opraveno pouze 75.

Anthropic představuje nové bezpečnostní nástroje

Součástí projektu Glasswing je také několik nových nástrojů pro bezpečnostní týmy.

Anthropic spustil beta verzi služby Claude Security pro zákazníky Claude Enterprise. Nástroj umožňuje analyzovat zdrojový kód, hledat zranitelnosti a navrhovat opravy.

Podle firmy bylo během prvních tří týdnů pomocí Claude Opus 4.7 opraveno více než 2 100 zranitelností.

Společnost zároveň oznámila Cyber Verification Program, který umožní ověřeným bezpečnostním profesionálům používat pokročilé modely pro legitimní bezpečnostní výzkum bez některých ochranných omezení.

Anthropic zatím Mythos veřejně nevydá

Anthropic na závěr uvádí, že modely úrovně Mythos Preview zatím nepovažuje za dostatečně bezpečné pro veřejné vydání.

Firma tvrdí, že současné safeguardy nejsou schopné spolehlivě zabránit zneužití podobně schopných modelů k rozsáhlým kybernetickým útokům. Zároveň ale očekává, že podobné AI modely budou v budoucnu vyvíjet i další společnosti.

Project Glasswing tak podle Anthropic představuje snahu připravit bezpečnostní komunitu na situaci, kdy budou podobné schopnosti dostupnější širšímu okruhu organizací i útočníků.