Sztuczna inteligencja w cyberbezpieczeństwie
Sztuczna inteligencja (AI) w cyberbezpieczeństwie wykorzystuje technologie AI, takie jak uczenie maszynowe i przetwarzanie języka naturalnego (NLP), aby wykrywa...
4 min czytania
AI
Cybersecurity
+5
Anthropic właśnie uruchomił Project Glasswing — inicjatywę z zakresu cyberbezpieczeństwa, która łączy największe firmy technologiczne świata z modelem AI wystarczająco potężnym, by znajdować podatności ukrywające się w krytycznym oprogramowaniu od dekad. Model wykrył już tysiące luk zero-day, w tym błędy w każdym głównym systemie operacyjnym i przeglądarce internetowej.
To nie jest ogłoszenie produktu ani nowa funkcja API. To skoordynowany wysiłek obronny oparty na założeniu, że cyberataki wspierane przez AI nadchodzą, a najlepszą obroną jest znalezienie podatności jako pierwsi.
Czym jest Project Glasswing?
Project Glasswing to międzybranżowa inicjatywa z zakresu cyberbezpieczeństwa uruchomiona przez Anthropic 7 kwietnia 2026 roku. Jej główna misja: wykorzystać AI do znajdowania i łatania podatności w krytycznej infrastrukturze oprogramowania, zanim atakujący zdążą je wykorzystać.
Inicjatywa opiera się na Claude Mythos Preview, najzaawansowanym nieudostępnionym modelu frontier firmy Anthropic. W odróżnieniu od poprzednich modeli Claude, Mythos posiada emergentne zdolności w zakresie wykrywania podatności i tworzenia exploitów, które stanowią jakościowy skok — nie dzięki specjalistycznemu szkoleniu w zakresie bezpieczeństwa, lecz dzięki ogólnym usprawnieniom w rozumowaniu o kodzie.
Argumentacja Anthropic jest prosta: modele AI osiągnęły poziom zdolności, na którym przewyższają większość ludzi w znajdowaniu i wykorzystywaniu podatności oprogramowania. W miarę rozpowszechniania się tych zdolności, złośliwi aktorzy nieuchronnie uzyskają do nich dostęp. Konsekwencje — dla gospodarek, bezpieczeństwa publicznego i bezpieczeństwa narodowego — mogą być poważne. Project Glasswing jest odpowiedzią wyprzedzającą: wykorzystanie tej samej mocy w celach obronnych.
Co udało się znaleźć?
Wyniki są imponujące. Claude Mythos Preview wykrył już tysiące luk zero-day — błędów, które pozostawały niewykryte latami, czasem dekadami:
| Podatność | Oprogramowanie | Wiek | Szczegóły |
|---|---|---|---|
| Przepełnienie liczby całkowitej ze znakiem w implementacji SACK | OpenBSD | 27 lat | Podatność stosu sieciowego |
| Exploit kodeka H.264 przez kolizję wartownika slice | FFmpeg | 16 lat | Podatność przetwarzania mediów |
| Uszkodzenie pamięci gość-host | Produkcyjny VMM z bezpieczeństwem pamięci | — | Ucieczka z hypervisora |
| Wiele podatności | Wszystkie główne systemy operacyjne i przeglądarki | Różne | W całym stosie technologicznym |
I nie tylko znajduje błędy — tworzy działające exploity:
- Łączenie wielu podatności — do 4 podatności połączonych sekwencyjnie
- JIT heap sprays z ucieczką z sandboxa — eksploatacja na poziomie przeglądarki
- Złożone łańcuchy gadżetów ROP obejmujące wiele pakietów — ataki na poziomie sieci
- Obejście KASLR i eskalacja uprawnień — eksploatacja na poziomie jądra
- Zdalne wykonanie kodu FreeBSD NFS — 17-letni błąd wykorzystany do pełnego dostępu root przez łańcuch ROP rozłożony na 6 pakietów
Mniej niż 1% wykrytych podatności zostało dotychczas załatanych. Anthropic stosuje harmonogram odpowiedzialnego ujawniania 90+45 dni oraz skróty zobowiązań SHA-3 potwierdzające posiadanie szczegółów podatności bez ich ujawniania.
Gotowy na rozwój swojej firmy?
Rozpocznij bezpłatny okres próbny już dziś i zobacz rezultaty w ciągu kilku dni.
Model za tym stojący: Claude Mythos Preview
Claude Mythos Preview nie jest jedynie przyrostowo lepszy — stanowi skok zdolności w analizie bezpieczeństwa kodu.
Benchmarki vs. Claude Opus 4.6
| Benchmark | Mythos Preview | Opus 4.6 | Różnica |
|---|---|---|---|
| CyberGym (analiza podatności) | 83,1% | 66,6% | +16,5 |
| SWE-bench Pro | 77,8% | 53,4% | +24,4 |
| SWE-bench Verified | 93,9% | 80,8% | +13,1 |
| BrowseComp | 86,9% | 83,7% | +3,2 |
| GPQA Diamond (rozumowanie naukowe) | 94,6% | 91,3% | +3,3 |
| Humanity’s Last Exam (bez narzędzi) | 56,8% | 40,0% | +16,8 |
| Humanity’s Last Exam (z narzędziami) | 64,7% | 53,1% | +11,6 |
Różnica w zakresie bezpieczeństwa jest dramatyczna. W teście korpusu OSS-Fuzz z 7000 punktami wejściowymi Mythos osiągnął 595 awarii na poziomach 1-2, z 10 pełnymi przejęciami przepływu sterowania. Przeciwko silnikowi JavaScript Firefox 147 opracował 181 działających exploitów — w porównaniu z zaledwie 2 od Opus 4.6.
Zespół red team Anthropic zauważa, że „Opus 4.6 miał bliski 0% wskaźnik sukcesu w autonomicznym tworzeniu exploitów". Mythos nie uzyskał tych zdolności ze specjalistycznego szkolenia w zakresie bezpieczeństwa — wyłoniły się z ogólnych usprawnień w rozumowaniu o kodzie. To właśnie sprawia, że jest zarówno potężny, jak i niepokojący.
Jak to działa technicznie
Model działa w ramach agentowego szkieletu:
- Ranking plików — Zautomatyzowana analiza ocenia pliki pod kątem prawdopodobieństwa podatności w skali 1-5
- Testowanie hipotez — Model generuje i iteracyjnie testuje hipotezy dotyczące podatności w konteneryzowanych środowiskach
- Tworzenie exploitów — Działające proof-of-concept exploity są tworzone autonomicznie przy użyciu Claude Code
- Walidacja przez człowieka — Walidatorzy potwierdzają ustalenia; 89% ocen poziomu zagrożenia zgadzało się z klasyfikacjami modelu
To nie jest statyczny skaner. To autonomiczny agent, który rozumuje o zachowaniu kodu, rozróżnia zamierzoną i rzeczywistą funkcjonalność oraz identyfikuje podatności logiczne, takie jak obejścia uwierzytelniania — a nie tylko wzorce uszkodzeń pamięci.
Dla kogo jest ten projekt?
Project Glasswing nie jest narzędziem ogólnego przeznaczenia dla programistów. Dostęp jest celowo ograniczony:
Partnerzy startowi (12 organizacji)
Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA oraz Palo Alto Networks.
Dostęp ma również około 40 dodatkowych organizacji odpowiedzialnych za krytyczną infrastrukturę oprogramowania.
Opiekunowie projektów open source
Jeśli utrzymujesz publiczne repozytorium z ponad 5000 gwiazdek na GitHub lub ponad 1 mln pobrań miesięcznie z NPM, możesz aplikować przez program Claude for Open Source .
To najbardziej dostępna ścieżka dla indywidualnych programistów. Program zapewnia dostęp do Claude specjalnie na potrzeby analizy bezpieczeństwa projektów open source.
Specjaliści ds. bezpieczeństwa
Nadchodzący Cyber Verification Program umożliwi uprawnionym specjalistom ds. bezpieczeństwa ubieganie się o dostęp. Szczegóły nie zostały jeszcze ogłoszone, ale prawdopodobnie będzie wymagane posiadanie certyfikatów zawodowych lub przynależność do organizacji.
Dostęp dla przedsiębiorstw
Claude Mythos Preview jest dostępny w ograniczonym podglądzie badawczym przez Amazon Bedrock z zabezpieczeniami klasy enterprise — szyfrowaniem zarządzanym przez klienta, izolacją VPC i szczegółowym logowaniem.
Po zakończeniu podglądu badawczego ceny API wyniosą 25 / 125 USD za milion tokenów wejściowych/wyjściowych przez Claude API, Amazon Bedrock, Google Vertex AI oraz Microsoft Foundry.
Dołącz do naszego newslettera
Otrzymuj najnowsze wskazówki, trendy i oferty za darmo.
Dlaczego to ma znaczenie dla programistów
Nawet jeśli nie masz bezpośredniego dostępu do Project Glasswing, jego implikacje są znaczące:
Twoje zależności staną się bezpieczniejsze. Project Glasswing skanuje oprogramowanie, na którym opiera się wszystko inne — systemy operacyjne, przeglądarki, kodeki mediów, stosy sieciowe, hypervisory. Łatki wynikające z tej inicjatywy poprawią bezpieczeństwo całego ekosystemu.
Krajobraz podatności się zmienia. AI potrafi teraz znajdować błędy, które dekady ludzkich przeglądów przeoczyły. Podnosi to poprzeczkę dla tego, co oznacza „bezpieczny kod" i przyspiesza harmonogram wykrywania i łatania znanych klas podatności.
Narzędzia bezpieczeństwa oparte na AI nadchodzą. To, co Mythos potrafi dziś w ograniczonym środowisku, inne modele będą zbliżać się do osiągnięcia w nadchodzących latach. Praktyki i narzędzia programistyczne uwzględniające bezpieczeństwo staną się standardem.
Open source zyskuje nieproporcjonalnie. Anthropic zobowiązał się do przekazania 2,5 miliona dolarów dla Alpha-Omega i OpenSSF za pośrednictwem Linux Foundation, plus 1,5 miliona dolarów dla Apache Software Foundation. W połączeniu ze 100 milionami dolarów w kredytach na wykorzystanie modeli dla uczestników, jest to znaczna inwestycja w bezpieczeństwo open source.
Kontrowersje
Nie wszyscy są entuzjastycznie nastawieni. Reakcje społeczności są mieszane:
Obawy dotyczące selektywnego dostępu. Krytycy argumentują, że ograniczenie dostępu do dużych firm technologicznych tworzy asymetrię — duże organizacje uzyskują lepsze bezpieczeństwo, podczas gdy mniejsze projekty i firmy pozostają w tyle. Niektórzy postrzegają to jako sprzeczność ze statusem Anthropic jako korporacji pożytku publicznego.
Pytania o bezpieczeństwo. Czy 24 godziny wewnętrznego przeglądu wystarczyły przed ogłoszeniem tak zdolnego modelu? Anthropic twierdzi, że przygotowywał się miesiącami, ale skompresowany publiczny harmonogram wzbudził wątpliwości.
Sceptycyzm marketingowy. Niektórzy obserwatorzy kwestionują, czy częściowo jest to działanie marketingowe przed potencjalnym IPO Anthropic, pozycjonujące firmę jako odpowiedzialnego opiekuna potężnej AI.
Dynamika „przeklęci tak czy inaczej". Zarówno szerokie udostępnienie modelu, jak i jego ograniczenie mają wady. Szerokie udostępnienie grozi wzmocnieniem atakujących. Ograniczone udostępnienie grozi stworzeniem trwałej przepaści bezpieczeństwa. Nie ma prostej odpowiedzi.
Anthropic planuje ostatecznie przekazać zarządzanie Project Glasswing „niezależnemu podmiotowi trzeciemu" koordynującemu projekty cyberbezpieczeństwa w sektorach prywatnym i publicznym.
Jak się zaangażować
Oto konkretne ścieżki dostępne już dziś:
| Ścieżka | Wymagania | Jak aplikować |
|---|---|---|
| Claude for Open Source | Ponad 5000 gwiazdek na GitHub lub ponad 1 mln pobrań z NPM | Aplikuj tutaj |
| Cyber Verification Program | Certyfikaty specjalisty ds. bezpieczeństwa | Wkrótce |
| Przedsiębiorstwo (Amazon Bedrock) | Umowa enterprise | Przez AWS |
| Partner startowy | Organizacja krytycznej infrastruktury | Na zaproszenie |
Dla większości programistów program Claude for Open Source jest realistycznym punktem wejścia. Jeśli utrzymujesz kwalifikujący się projekt, aplikuj teraz — program zapewnia dostęp do Claude na potrzeby analizy bezpieczeństwa Twojego kodu.
Podsumowanie
Project Glasswing to najambitniejsza inicjatywa cyberbezpieczeństwa oparta na AI dotychczas. Łączy model AI zdolny do autonomicznego znajdowania wieloletnich luk zero-day z organizacjami odpowiedzialnymi za najważniejsze oprogramowanie świata.
Model ograniczonego dostępu jest kontrowersyjny, ale prawdopodobnie konieczny — te same zdolności, które czynią Mythos wyjątkowym obrońcą, uczyniłyby go wyjątkowym atakującym w niewłaściwych rękach. Na razie korzyści płyną do całego ekosystemu poprzez skoordynowane ujawnianie i łatanie.
Dla programistów wniosek jest praktyczny: zależności Twojego oprogramowania zaraz dostaną więcej kontroli bezpieczeństwa niż kiedykolwiek wcześniej. Podatności, które Mythos znajduje dziś, staną się łatkami w nadchodzących miesiącach. Aktualizuj swoje zależności, śledź komunikaty bezpieczeństwa, a jeśli utrzymujesz kwalifikujący się projekt open source, aplikuj do programu Claude for Open Source.
Era wykrywania podatności opartego na AI jest tutaj. Project Glasswing to pierwsza skoordynowana próba upewnienia się, że obrońcy ruszą pierwsi.
Zbudowane z FlowHunt . Bądź na bieżąco z najnowszymi wydarzeniami w AI i cyberbezpieczeństwie na naszym blogu .
