Project Glasswing od Anthropic využívá nejsilnější model AI k odhalení tisíců zero-day zranitelností v kritickém softwaru. Vše, co potřebují vývojáři a bezpečnostní profesionálové vědět.
Anthropic právě spustil Project Glasswing — iniciativu v oblasti kybernetické bezpečnosti, která spojuje největší technologické firmy světa s AI modelem dostatečně silným na to, aby odhalil zranitelnosti skrývající se v kritickém softwaru celá desetiletí. Model již objevil tisíce zero-day zranitelností, včetně chyb ve všech hlavních operačních systémech a webových prohlížečích.
Nejde o oznámení produktu ani o novou funkci API. Jde o koordinované obranné úsilí postavené na předpokladu, že kybernetické útoky poháněné umělou inteligencí přicházejí a nejlepší obranou je najít zranitelnosti jako první.
Project Glasswing je meziodvětvová iniciativa v oblasti kybernetické bezpečnosti, kterou Anthropic spustil 7. dubna 2026. Její hlavní mise: využít AI k nalezení a opravě zranitelností v kritické softwarové infrastruktuře dříve, než je mohou zneužít útočníci.
Iniciativa je poháněna modelem Claude Mythos Preview, nejpokročilejším dosud nezveřejněným frontier modelem od Anthropic. Na rozdíl od předchozích modelů Claude má Mythos emergentní schopnosti v oblasti odhalování zranitelností a vývoje exploitů, které představují kvalitativní skok — nikoli díky specifickému bezpečnostnímu tréninku, ale díky obecným zlepšením v uvažování o kódu.
Argument Anthropic je přímočarý: AI modely dosáhly úrovně schopností, kdy překonávají většinu lidí v hledání a zneužívání softwarových zranitelností. Jak se tyto schopnosti rozšíří, škodliví aktéři k nim nevyhnutelně získají přístup. Důsledky — pro ekonomiky, veřejnou bezpečnost a národní bezpečnost — by mohly být závažné. Project Glasswing je preventivní odpověď: využít tutéž sílu defenzivně.
Výsledky jsou pozoruhodné. Claude Mythos Preview již odhalil tisíce zero-day zranitelností — chyb, které zůstávaly neodhaleny roky, někdy i desetiletí:
| Zranitelnost | Software | Stáří | Podrobnosti |
|---|---|---|---|
| Přetečení znaménkového celého čísla v implementaci SACK | OpenBSD | 27 let | Zranitelnost síťového stacku |
| Exploit H.264 kodeku přes kolizi slice sentinel | FFmpeg | 16 let | Zranitelnost zpracování médií |
| Poškození paměti guest-to-host | Produkční paměťově bezpečný VMM | — | Únik z hypervizoru |
| Více zranitelností | Všechny hlavní OS a webové prohlížeče | Různé | Napříč celým stackem |
A nejde jen o hledání chyb — model vyvíjí funkční exploity:
Méně než 1 % objevených zranitelností bylo dosud opraveno. Anthropic používá časový rámec zodpovědného zveřejnění 90+45 dní a SHA-3 commitment hashe pro prokázání držení podrobností o zranitelnosti bez jejich odhalení.
Začněte svou bezplatnou zkušební verzi ještě dnes a viďte výsledky během několika dní.
Claude Mythos Preview není jen inkrementálně lepší — představuje skokový nárůst schopností v analýze bezpečnosti kódu.
| Benchmark | Mythos Preview | Opus 4.6 | Rozdíl |
|---|---|---|---|
| CyberGym (analýza zranitelností) | 83,1 % | 66,6 % | +16,5 |
| SWE-bench Pro | 77,8 % | 53,4 % | +24,4 |
| SWE-bench Verified | 93,9 % | 80,8 % | +13,1 |
| BrowseComp | 86,9 % | 83,7 % | +3,2 |
| GPQA Diamond (vědecké uvažování) | 94,6 % | 91,3 % | +3,3 |
| Humanity’s Last Exam (bez nástrojů) | 56,8 % | 40,0 % | +16,8 |
| Humanity’s Last Exam (s nástroji) | 64,7 % | 53,1 % | +11,6 |
Bezpečnostní propast je dramatická. V testu korpusu OSS-Fuzz se 7 000 vstupními body dosáhl Mythos 595 pádů na úrovních 1-2, s 10 plnými převzetími toku řízení. Proti JavaScript enginu Firefoxu 147 vyvinul 181 funkčních exploitů — oproti pouhým 2 od Opus 4.6.
Červený tým Anthropic poznamenává, že „Opus 4.6 měl téměř nulovou úspěšnost při autonomním vývoji exploitů." Mythos tyto schopnosti nezískal ze specializovaného bezpečnostního tréninku — vyplynuly z obecných zlepšení v uvažování o kódu. To je to, co to činí zároveň silným i znepokojivým.
Model operuje v rámci agentního scaffoldu:
Nejde o statický skener. Je to autonomní agent, který uvažuje o chování kódu, rozlišuje zamýšlenou a skutečnou funkcionalitu a identifikuje logické zranitelnosti jako obcházení autentizace — nejen vzorce poškození paměti.
Project Glasswing není obecný vývojářský nástroj. Přístup je záměrně omezen:
Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks.
Přibližně 40 dalších organizací zodpovědných za kritickou softwarovou infrastrukturu má rovněž přístup.
Pokud spravujete veřejný repozitář s 5 000+ GitHub hvězdičkami nebo 1M+ měsíčními NPM staženími, můžete zažádat prostřednictvím programu Claude for Open Source .
Toto je nejdostupnější cesta pro jednotlivé vývojáře. Program poskytuje přístup k Claude specificky pro bezpečnostní analýzu open-source projektů.
Připravovaný Cyber Verification Program umožní legitimním bezpečnostním profesionálům požádat o přístup. Podrobnosti zatím nebyly oznámeny, ale pravděpodobně bude vyžadována profesní kvalifikace nebo příslušnost k organizaci.
Claude Mythos Preview je dostupný v uzavřeném výzkumném náhledu prostřednictvím Amazon Bedrock s podnikovými bezpečnostními kontrolami — šifrování řízené zákazníkem, VPC izolace a podrobné logování.
Po skončení výzkumného náhledu bude cena API 25 $ / 125 $ za milion vstupních/výstupních tokenů prostřednictvím Claude API, Amazon Bedrock, Google Vertex AI a Microsoft Foundry.
Získejte nejnovější tipy, trendy a nabídky zdarma.
I když nemáte přímý přístup k Project Glasswing, jeho dopady jsou významné:
Vaše závislosti budou bezpečnější. Project Glasswing skenuje software, na kterém je postaveno vše ostatní — operační systémy, prohlížeče, mediální kodeky, síťové stacky, hypervizory. Opravy plynoucí z této iniciativy zvýší bezpečnost celého ekosystému.
Prostředí zranitelností se mění. AI nyní dokáže najít chyby, které unikaly desetiletím lidské kontroly. To zvyšuje laťku toho, co znamená „bezpečný kód", a urychluje časový horizont, ve kterém jsou známé třídy zranitelností objeveny a opraveny.
Bezpečnostní nástroje s AI přicházejí. To, co Mythos dnes dokáže v omezeném prostředí, se ostatní modely budou v nadcházejících letech přibližovat. Bezpečnostně orientované vývojové postupy a nástroje se stanou základním standardem.
Open-source získává neproporcionální výhodu. Anthropic se zavázal poskytnout 2,5 milionu dolarů na Alpha-Omega a OpenSSF prostřednictvím Linux Foundation plus 1,5 milionu dolarů pro Apache Software Foundation. V kombinaci se 100 miliony dolarů v kreditech na využití modelů pro účastníky jde o zásadní investici do bezpečnosti open-source.
Ne všichni jsou nadšení. Reakce komunity jsou smíšené:
Obavy ze selektivního přístupu. Kritici argumentují, že omezení přístupu na velké technologické společnosti vytváří asymetrii — velké organizace získají lepší zabezpečení, zatímco menší projekty a firmy zůstávají stranou. Někteří v tom vidí rozpor se statusem Anthropic jako společnosti veřejného prospěchu.
Bezpečnostní otázky. Bylo 24 hodin interní kontroly dostatečných před oznámením takto schopného modelu? Anthropic argumentuje, že se připravovali měsíce, ale zkrácená veřejná časová osa vyvolala pozornost.
Marketingový skepticismus. Někteří pozorovatelé se ptají, zda nejde částečně o marketingové cvičení před potenciálním IPO Anthropic, které má společnost prezentovat jako zodpovědného správce silné AI.
Dynamika „ať uděláte cokoli". Jak široké zpřístupnění modelu, tak jeho omezení mají nevýhody. Široké zpřístupnění riskuje posílení útočníků. Omezené zpřístupnění riskuje vytvoření trvalé bezpečnostní propasti. Čisté řešení neexistuje.
Anthropic plánuje nakonec převést správu Project Glasswing na „nezávislý subjekt třetí strany" koordinující projekty kybernetické bezpečnosti napříč soukromým a veřejným sektorem.
Zde jsou konkrétní cesty dostupné dnes:
| Cesta | Požadavky | Jak se přihlásit |
|---|---|---|
| Claude for Open Source | 5 000+ GitHub hvězdiček nebo 1M+ NPM stažení | Přihlaste se zde |
| Cyber Verification Program | Profesní bezpečnostní kvalifikace | Již brzy |
| Podnik (Amazon Bedrock) | Podniková smlouva | Prostřednictvím AWS |
| Zakládající partner | Organizace kritické infrastruktury | Na pozvání |
Pro většinu vývojářů je program Claude for Open Source realistickým vstupním bodem. Pokud spravujete kvalifikující se projekt, přihlaste se nyní — program poskytuje přístup k Claude pro bezpečnostní analýzu vaší kódové základny.
Project Glasswing je dosud nejambicióznější iniciativou v oblasti kybernetické bezpečnosti poháněnou AI. Spojuje AI model schopný autonomně odhalovat desetiletí staré zero-day zranitelnosti s organizacemi zodpovědnými za nejkritičtější software na světě.
Model omezeného přístupu je kontroverzní, ale pravděpodobně nezbytný — stejné schopnosti, které dělají z Mythos výjimečného obránce, by z něj udělaly výjimečného útočníka ve špatných rukou. Prozatím přínosy plynou prostřednictvím koordinovaného zveřejňování a oprav celému ekosystému.
Pro vývojáře je závěr praktický: závislosti vašeho softwaru budou brzy podrobeny důkladnějšímu bezpečnostnímu zkoumání než kdykoli předtím. Zranitelnosti, které Mythos dnes nachází, se v následujících měsících promění v opravy. Udržujte své závislosti aktuální, sledujte bezpečnostní upozornění, a pokud spravujete kvalifikující se open-source projekt, přihlaste se do programu Claude for Open Source.
Éra odhalování zranitelností pomocí AI je tady. Project Glasswing je prvním koordinovaným pokusem zajistit, aby obránci jednali jako první.
Vytvořeno s FlowHunt . Sledujte nejnovější vývoj v oblasti AI a kybernetické bezpečnosti na našem blogu .
Viktor Zeman je spolumajitelem QualityUnit. I po více než 20 letech vedení firmy zůstává především softwarovým inženýrem, specializuje se na AI, programatické SEO a backendový vývoj. Přispěl k řadě projektů, včetně LiveAgent, PostAffiliatePro, FlowHunt, UrlsLab a mnoha dalších.
Jailbreaking AI chatbotů obchází bezpečnostní ochranné mechanismy, aby se model choval mimo zamýšlené hranice. Naučte se nejběžnější techniky — DAN, hraní rolí,...
Zjistěte, proč společnost Anthropic vytvořila Model Context Protocol (MCP), open-source standard propojující AI modely s reálnými aplikacemi a nástroji, a proč ...
AI red teaming je strukturované adversariální bezpečnostní cvičení, při kterém specialisté systematicky zkoumají AI systémy — LLM chatboty, agenty a pipeline — ...
