Project Glasswing od Anthropic využíva najvýkonnejší AI model na hľadanie tisícov zero-day zraniteľností v kritickom softvéri. Tu je všetko, čo potrebujú vedieť vývojári a bezpečnostní odborníci.
Anthropic práve spustil Project Glasswing — iniciatívu v oblasti kybernetickej bezpečnosti, ktorá spája najväčšie technologické spoločnosti sveta s AI modelom dostatočne výkonným na to, aby našiel zraniteľnosti ukryté v kritickom softvéri celé desaťročia. Model už objavil tisíce zero-day zraniteľností vrátane chýb v každom hlavnom operačnom systéme a webovom prehliadači.
Nejde o oznámenie produktu ani o novú funkciu API. Je to koordinované obranné úsilie postavené na predpoklade, že kybernetické útoky poháňané AI prichádzajú a najlepšou obranou je nájsť zraniteľnosti ako prvý.
Project Glasswing je medziodvetvová iniciatíva v oblasti kybernetickej bezpečnosti, ktorú spustil Anthropic 7. apríla 2026. Jej hlavná misia: využiť AI na hľadanie a opravu zraniteľností v kritickej softvérovej infraštruktúre skôr, ako ich útočníci môžu zneužiť.
Iniciatívu poháňa Claude Mythos Preview, najvyspelejší nezverejnený frontier model od Anthropic. Na rozdiel od predchádzajúcich modelov Claude má Mythos emergentné schopnosti v objavovaní zraniteľností a vývoji exploitov, ktoré predstavujú kvalitatívny skok — nie z explicitného bezpečnostného tréningu, ale zo všeobecných vylepšení v uvažovaní o kóde.
Argument Anthropic je priamočiary: AI modely dosiahli úroveň schopností, kde prekonávajú väčšinu ľudí v hľadaní a zneužívaní softvérových zraniteľností. Ako sa tieto schopnosti šíria, zlomyseľní aktéri k nim nevyhnutne získajú prístup. Následky — pre ekonomiky, verejnú bezpečnosť a národnú bezpečnosť — by mohli byť vážne. Project Glasswing je preventívna odpoveď: využiť rovnakú silu defenzívne.
Výsledky sú pozoruhodné. Claude Mythos Preview už objavil tisíce zero-day zraniteľností — chýb, ktoré zostávali neodhalené roky, niekedy celé desaťročia:
| Zraniteľnosť | Softvér | Vek | Detaily |
|---|---|---|---|
| Pretečenie znamienkového celého čísla v implementácii SACK | OpenBSD | 27 rokov | Zraniteľnosť sieťového zásobníka |
| Exploit H.264 kodeku cez kolíziu slice sentinelu | FFmpeg | 16 rokov | Zraniteľnosť spracovania médií |
| Poškodenie pamäte guest-to-host | Produkčný memory-safe VMM | — | Únik z hypervisora |
| Viacero zraniteľností | Každý hlavný OS a webový prehliadač | Rôzne | Naprieč celým zásobníkom |
A nenachádza len chyby — vyvíja funkčné exploity:
Menej ako 1 % objavených zraniteľností bolo doteraz opravených. Anthropic používa 90+45-dňový časový rámec zodpovedného zverejňovania a SHA-3 záväzkové hashe na preukázanie vlastníctva detailov o zraniteľnostiach bez ich odhalenia.
Začnite svoju 30-dňovú skúšobnú verziu ešte dnes a vidzte výsledky behom pár dní.
Claude Mythos Preview nie je len postupne lepší — predstavuje skokový nárast schopností v analýze bezpečnosti kódu.
| Benchmark | Mythos Preview | Opus 4.6 | Rozdiel |
|---|---|---|---|
| CyberGym (analýza zraniteľností) | 83,1 % | 66,6 % | +16,5 |
| SWE-bench Pro | 77,8 % | 53,4 % | +24,4 |
| SWE-bench Verified | 93,9 % | 80,8 % | +13,1 |
| BrowseComp | 86,9 % | 83,7 % | +3,2 |
| GPQA Diamond (vedecké uvažovanie) | 94,6 % | 91,3 % | +3,3 |
| Humanity’s Last Exam (bez nástrojov) | 56,8 % | 40,0 % | +16,8 |
| Humanity’s Last Exam (s nástrojmi) | 64,7 % | 53,1 % | +11,6 |
Bezpečnostný rozdiel je dramatický. V teste OSS-Fuzz korpusu so 7 000 vstupnými bodmi Mythos dosiahol 595 pádov na úrovniach 1-2 s 10 úplnými prevzatiami riadenia toku. Proti JavaScript engine Firefoxu 147 vyvinul 181 funkčných exploitov — v porovnaní s iba 2 od Opus 4.6.
Červený tím Anthropic poznamenáva, že „Opus 4.6 mal takmer nulovú úspešnosť pri autonómnom vývoji exploitov." Mythos tieto schopnosti nezískal zo špecializovaného bezpečnostného tréningu — objavili sa zo všeobecných vylepšení v uvažovaní o kóde. To je to, čo to robí výkonným aj znepokojujúcim zároveň.
Model funguje v rámci agentového scaffoldu:
Nejde o statický skener. Je to autonómny agent, ktorý uvažuje o správaní kódu, rozlišuje medzi zamýšľanou a skutočnou funkcionalitou a identifikuje logické zraniteľnosti ako obchádzanie autentifikácie — nie len vzory poškodenia pamäte.
Project Glasswing nie je univerzálny nástroj pre vývojárov. Prístup je zámerne obmedzený:
Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks.
Približne 40 ďalších organizácií zodpovedných za kritickú softvérovú infraštruktúru má tiež prístup.
Ak spravujete verejný repozitár s viac ako 5 000 GitHub hviezdičkami alebo 1M+ mesačnými NPM stiahnutiami, môžete sa prihlásiť cez program Claude for Open Source .
Toto je najdostupnejšia cesta pre individuálnych vývojárov. Program poskytuje prístup ku Claude špecificky na bezpečnostnú analýzu open-source projektov.
Pripravovaný Cyber Verification Program umožní legitímnym bezpečnostným odborníkom požiadať o prístup. Podrobnosti ešte neboli oznámené, ale pravdepodobne to bude vyžadovať profesionálne poverenia alebo príslušnosť k organizácii.
Claude Mythos Preview je dostupný v obmedzenom výskumnom náhľade cez Amazon Bedrock s podnikovými bezpečnostnými kontrolami — šifrovanie spravované zákazníkom, VPC izolácia a podrobné logovanie.
Po ukončení výskumného náhľadu bude cena API 25 / 125 USD za milión vstupných/výstupných tokenov cez Claude API, Amazon Bedrock, Google Vertex AI a Microsoft Foundry.
Získajte najnovšie tipy, trendy a ponuky zadarmo.
Aj keď nemáte priamy prístup k Project Glasswing, jeho dopady sú významné:
Vaše závislosti budú bezpečnejšie. Project Glasswing skenuje softvér, na ktorom je postavené všetko ostatné — operačné systémy, prehliadače, mediálne kodeky, sieťové zásobníky, hypervisory. Opravy plynúce z tejto iniciatívy zlepšia bezpečnosť celého ekosystému.
Krajina zraniteľností sa mení. AI teraz dokáže nájsť chyby, ktoré desaťročia ľudskej kontroly prehliadli. To zvyšuje latku pre to, čo znamená „bezpečný kód" a zrýchľuje časový rámec, v ktorom sa známe triedy zraniteľností objavia a opravia.
Prichádzajú bezpečnostné nástroje poháňané AI. To, čo Mythos dokáže dnes v obmedzenom prostredí, ostatné modely dosiahnu v nasledujúcich rokoch. Bezpečnostne orientované vývojové praktiky a nástroje sa stanú základnou požiadavkou.
Open-source má neúmerný prospech. Anthropic investoval 2,5 milióna USD do Alpha-Omega a OpenSSF cez Linux Foundation plus 1,5 milióna USD do Apache Software Foundation. V kombinácii so 100 miliónmi USD v kreditoch na používanie modelov pre účastníkov je to významná investícia do bezpečnosti open-source.
Nie všetci sú nadšení. Reakcie komunity boli zmiešané:
Obavy zo selektívneho prístupu. Kritici tvrdia, že obmedzenie prístupu na veľké technologické spoločnosti vytvára asymetriu — veľké organizácie získavajú lepšiu bezpečnosť, zatiaľ čo menšie projekty a firmy zostávajú pozadu. Niektorí to vnímajú ako rozpor so statusom Anthropic ako spoločnosti verejného záujmu.
Bezpečnostné otázky. Bolo 24 hodín interného preskúmania dostatočné pred oznámením takto schopného modelu? Anthropic tvrdí, že sa pripravoval mesiace, ale skrátený verejný časový rámec vyvolal kritiku.
Marketingový skepticizmus. Niektorí pozorovatelia sa pýtajú, či je to čiastočne marketingové cvičenie pred potenciálnym IPO Anthropic, pozicionujúce spoločnosť ako zodpovedného správcu výkonnej AI.
Dynamika „nech urobíš čokoľvek". Široké sprístupnenie aj obmedzenie modelu majú nevýhody. Široké sprístupnenie riskuje posilnenie útočníkov. Obmedzené sprístupnenie riskuje vytvorenie trvalej bezpečnostnej priepasti. Neexistuje čisté riešenie.
Anthropic plánuje nakoniec previesť správu Project Glasswing na „nezávislý, tretí subjekt" koordinujúci projekty kybernetickej bezpečnosti naprieč súkromným a verejným sektorom.
Tu sú konkrétne cesty dostupné dnes:
| Cesta | Požiadavky | Ako sa prihlásiť |
|---|---|---|
| Claude for Open Source | 5 000+ GitHub hviezdičiek alebo 1M+ NPM stiahnutí | Prihláste sa tu |
| Cyber Verification Program | Profesionálne bezpečnostné poverenia | Už čoskoro |
| Podnikový prístup (Amazon Bedrock) | Podniková zmluva | Cez AWS |
| Zakladajúci partner | Organizácia kritickej infraštruktúry | Na pozvanie |
Pre väčšinu vývojárov je program Claude for Open Source realistickým vstupným bodom. Ak spravujete kvalifikovaný projekt, prihláste sa teraz — program poskytuje prístup ku Claude na bezpečnostnú analýzu vášho kódu.
Project Glasswing je najambicióznejšia iniciatíva v oblasti kybernetickej bezpečnosti poháňaná AI doteraz. Spája AI model, ktorý dokáže autonómne nájsť desaťročia staré zero-day zraniteľnosti, s organizáciami zodpovednými za najkritickejší softvér na svete.
Model obmedzeného prístupu je kontroverzný, ale pravdepodobne nevyhnutný — tie isté schopnosti, ktoré robia z Mythos výnimočného obrancu, by z neho urobili výnimočného útočníka v nesprávnych rukách. Zatiaľ sa výhody šíria prostredníctvom koordinovaného zverejňovania a opráv do celého ekosystému.
Pre vývojárov je praktický záver: závislosti vášho softvéru dostanú viac bezpečnostnej kontroly, než kedy mali. Zraniteľnosti, ktoré Mythos nachádza dnes, sa v nasledujúcich mesiacoch stanú opravami. Udržiavajte svoje závislosti aktualizované, sledujte bezpečnostné upozornenia a ak spravujete kvalifikovaný open-source projekt, prihláste sa do programu Claude for Open Source.
Éra objavovania zraniteľností pomocou AI je tu. Project Glasswing je prvým koordinovaným pokusom zabezpečiť, aby sa obrancovia pohli ako prví.
Vytvorené pomocou FlowHunt . Sledujte najnovší vývoj v AI a kybernetickej bezpečnosti na našom blogu .
Viktor Zeman je spolumajiteľom spoločnosti QualityUnit. Aj po 20 rokoch vedenia firmy zostáva predovšetkým softvérovým inžinierom, špecializujúcim sa na AI, programatické SEO a backendový vývoj. Prispel k množstvu projektov vrátane LiveAgent, PostAffiliatePro, FlowHunt, UrlsLab a mnohých ďalších.
FlowHunt vám pomôže vytvárať automatizované AI pipeline-y s bezpečnosťou na podnikovej úrovni — pomocou najlepších dostupných modelov vrátane Claude.
Komplexná analýza prehliadača OpenAI Atlas, jeho AI-native funkcií a kritických bezpečnostných zraniteľností vrátane útokov injekciou promptov, ktoré predstavuj...
Jailbreaking AI chatbotov obchádza bezpečnostné zábrany, aby sa model správal mimo svojich zamýšľaných hraníc. Naučte sa najčastejšie techniky — DAN, role-play,...
Preskúmajte Sprievodcu rizikami a kontrolami AI od KPMG – praktický rámec, ktorý pomáha organizáciám eticky riadiť riziká AI, zabezpečiť súlad a budovať dôveryh...
