W ramach inicjatywy, która może na nowo zdefiniować przyszłość globalnego cyberbezpieczeństwa, firma Anthropic ogłosiła, że jej zaawansowany system sztucznej inteligencji, Claude Mythos Preview, pomógł zidentyfikować ponad 10 000 poważnych luk w zabezpieczeniach oprogramowania w niektórych z najczęściej używanych na świecie systemach infrastruktury cyfrowej.
Wyniki te zostały uzyskane w ramach „Project Glasswing”, ściśle tajnej inicjatywy dotyczącej cyberbezpieczeństwa, uruchomionej zaledwie kilka tygodni temu. Projekt ten zapewnia wybranej grupie około 50 partnerów zajmujących się bezpieczeństwem – w tym bankom, dostawcom oprogramowania, operatorom infrastruktury i firmom zajmującym się bezpieczeństwem – wczesny dostęp do najbardziej zaawansowanego modelu sztucznej inteligencji firmy Anthropic, ukierunkowanego na cyberbezpieczeństwo.
Według firmy inicjatywa ta pozwoliła już wykryć 6202 luki o wysokim lub krytycznym poziomie zagrożenia, które dotyczą ponad 1000 projektów oprogramowania open source wykorzystywanych na całym świecie w systemach korporacyjnych, środowiskach chmurowych, sieciach finansowych, infrastrukturze telekomunikacyjnej oraz usługach rządowych.
Po dokładniejszej analizie i weryfikacji przez ludzi badacze potwierdzili, że 1726 z tych wyników to rzeczywiste luki w zabezpieczeniach, z czego 1094 zaklasyfikowano jako luki o wysokim lub krytycznym poziomie zagrożenia — to bezprecedensowa skala badań w zakresie bezpieczeństwa wspomaganych przez sztuczną inteligencję w tak krótkim czasie.
Ogłoszenie to stanowi jeden z najwyraźniejszych dotychczasowych sygnałów, że nowatorskie systemy sztucznej inteligencji szybko stają się kluczowymi graczami zarówno w cyberobronie, jak i w ofensywnych operacjach bezpieczeństwa.
Eksperci ds. bezpieczeństwa od dawna ostrzegają, że sztuczna inteligencja w końcu zrewolucjonizuje cyberwojnę. Jednak do niedawna większość publicznie dostępnych systemów opartych na sztucznej inteligencji nie była w stanie samodzielnie analizować ogromnych baz kodu, rozważać złożonych powierzchni ataku ani łączyć ścieżek wykorzystania luk w zabezpieczeniach w wyrafinowany sposób.
Wydaje się, że wersja demonstracyjna Claude Mythos firmy Anthropic stanowi znaczący krok naprzód.
Firma opisała ten system jako zdolny do samodzielnego przeglądania dużych repozytoriów oprogramowania, identyfikowania słabych punktów, które można wykorzystać, ustalania priorytetów według poziomu zagrożenia, a nawet analizowania, w jaki sposób atakujący mogliby wykorzystać luki w zabezpieczeniach do stworzenia pełnych łańcuchów ataków.
Badacze branżowi uczestniczący w projekcie Glasswing stwierdzili podobno, że system ten jest znacznie bardziej wydajny niż wcześniejsze generacje dużych modeli językowych.
Firma XBOW, zajmująca się autonomiczną ochroną ofensywną, opisała Mythos Preview jako narzędzie „znacznie lepsze od poprzednich modeli w wykrywaniu potencjalnych luk w zabezpieczeniach” oraz szczególnie skuteczne w analizowaniu kodu źródłowego „z punktu widzenia bezpieczeństwa”.
Konsekwencje tego są ogromne. Od lat specjaliści ds. bezpieczeństwa borykają się z nierównowagą: wykrywanie luk w zabezpieczeniach wymagało dotychczas wysoko wyspecjalizowanych kadr i miesięcy ręcznych audytów, podczas gdy atakującym często wystarczyła jedna przeoczona luka, by przejąć kontrolę nad organizacją.
Sztuczna inteligencja może teraz zmienić tę sytuację.
„Względna łatwość wykrywania luk w zabezpieczeniach w porównaniu z trudnością ich naprawiania stanowi poważne wyzwanie dla cyberbezpieczeństwa” – stwierdziła firma Anthropic w swoim komunikacie. „Pomyślne sprostanie temu wyzwaniu sprawi, że nasze oprogramowanie będzie znacznie bezpieczniejsze niż dotychczas”.
Wśród luk w zabezpieczeniach wykrytych w ramach projektu Glasswing znalazła się krytyczna luka w powszechnie stosowanej bibliotece kryptograficznej WolfSSL.
Luka ta, oznaczona numerem CVE-2026-5194 i posiadająca ocenę ważności CVSS na poziomie 9,1, mogłaby rzekomo umożliwić atakującym fałszowanie certyfikatów cyfrowych i podszywanie się pod legalne serwisy internetowe — potencjalnie umożliwiając ataki typu „man-in-the-middle”, przechwytywanie zaszyfrowanego ruchu oraz scenariusze fałszywego uwierzytelniania.
Luki w infrastrukturze kryptograficznej są szczególnie niebezpieczne, ponieważ podważają mechanizmy zaufania stosowane w Internecie, w tym bezpieczne przeglądanie stron internetowych, komunikację VPN, systemy wbudowane i urządzenia przemysłowe.
Firma Anthropic stwierdziła, że wyniki projektu Glasswing doprowadziły już do:
- załatania 97 luk przez administratorów
- wydania 88 oficjalnych komunikatów dotyczących bezpieczeństwa
- badania tysięcy dodatkowych przypadków
Liczby te pokazują, jak systemy sztucznej inteligencji zaczynają przyspieszać wykrywanie luk w tempie, z którym same zespoły ds. bezpieczeństwa mogą mieć trudności.
Wiele programów, których dotyczą te ustalenia, należy do ekosystemu oprogramowania open source – stanowiącego podstawę współczesnej infrastruktury cyfrowej.
Projekty open source stanowią podstawę platform chmurowych, systemów bankowych, aplikacji mobilnych, systemów operacyjnych, przemysłowych sieci sterowania oraz samej infrastruktury sztucznej inteligencji. Jednak wiele z nich jest utrzymywanych przez niewielkie zespoły wolontariuszy dysponujące ograniczonymi zasobami w zakresie bezpieczeństwa.
Wyniki projektu Glasswing potęgują obawy, że świat oprogramowania open source może wkrótce stanąć w obliczu „kryzysu luki w aktualizacjach”, w którym luki w zabezpieczeniach są wykrywane szybciej, niż programiści są w stanie je naprawić.
Ta nierównowaga może stać się jednym z kluczowych zagrożeń technologicznych ery sztucznej inteligencji. Jeśli pionierskie modele sztucznej inteligencji będą w stanie wykrywać luki w zabezpieczeniach na skalę przemysłową, organizacje mogą wkrótce tonąć w zalewie komunikatów dotyczących bezpieczeństwa. Wyzwanie przenosi się z wykrywania luk na operacyjne zarządzanie ich usuwaniem, zanim przeciwnicy wykorzystają je jako broń.
Ostrzeżenie to pokrywa się z ostatnimi komentarzami firmy Microsoft, która potwierdziła gwałtowny wzrost liczby poprawek, spowodowany częściowo analizą bezpieczeństwa wspomaganą przez sztuczną inteligencję.
Firma Microsoft wskazała niedawno, że klienci powinni spodziewać się, iż comiesięczne aktualizacje zabezpieczeń będą „przez pewien czas coraz większe”, co odzwierciedla przyspieszające tempo wykrywania luk w zabezpieczeniach.
Firma Anthropic ujawniła również, że model Mythos Preview znalazł już zastosowanie poza audytem oprogramowania.
W jednym z godnych uwagi przypadków partner bankowy uczestniczący w projekcie Glasswing rzekomo wykorzystał ten model do wykrycia i powstrzymania próby nieuprawnionego przelewu bankowego na kwotę 1,5 miliona dolarów po tym, jak atakujący przejęli kontrolę nad kontem e-mailowym klienta i przeprowadzili fałszywe rozmowy telefoniczne, podszywając się pod uprawnione podmioty.
Incydent ten pokazuje, jak zaawansowane systemy sztucznej inteligencji coraz częściej wykraczają poza statyczną analizę kodu, przechodząc do wnioskowania behawioralnego, wykrywania anomalii i zapobiegania oszustwom.
Może to stanowić początkowy etap „operacji bezpieczeństwa opartych na sztucznej inteligencji”, w ramach których inteligencja maszynowa nieustannie monitoruje ekosystemy cyfrowe, identyfikuje podejrzane zachowania, koreluje sygnały zagrożeń i autonomicznie wspiera ludzi zajmujących się ochroną w czasie rzeczywistym.
Oczekuje się, że w ciągu najbliższych kilku lat głównymi użytkownikami takich systemów staną się duże instytucje finansowe, systemy opieki zdrowotnej oraz operatorzy infrastruktury krytycznej.
Pomimo sukcesów w zakresie obrony, oświadczenie firmy Anthropic podkreśla również narastające obawy dotyczące możliwości nadużycia potężnych systemów sztucznej inteligencji o zdolnościach cybernetycznych.
Modele takie jak Claude Mythos Preview i GPT-5.5-Cyber firmy OpenAI nie zostały udostępnione publicznie z obawy, że złośliwi aktorzy mogliby je wykorzystać do prowadzenia operacji ofensywnych na dużą skalę, automatycznego wykrywania luk w zabezpieczeniach, tworzenia złośliwego oprogramowania oraz skoordynowanych cyberataków.
Gdy takie systemy staną się powszechnie dostępne, nawet stosunkowo mało zaawansowani cyberprzestępcy mogą zyskać możliwości, które wcześniej były zarezerwowane dla elitarnych grup państwowych lub wysoko wykwalifikowanych testerów penetracyjnych.
Firma Anthropic bezpośrednio potwierdziła to zagrożenie, ostrzegając, że modele o możliwościach podobnych do Mythos Preview mogą stać się powszechnie dostępne „w najbliższej przyszłości”.
Firma wezwała organizacje na całym świecie do pilnej modernizacji swoich systemów cyberobrony, w tym:
- Przyspieszenie harmonogramów wdrażania poprawek
- Wprowadzenie uwierzytelniania wieloskładnikowego
- Wzmocnienie domyślnych konfiguracji sieciowych
- Rozszerzenie rejestrowania i monitorowania bezpieczeństwa
- Poprawa gotowości do reagowania na incydenty
Zalecenia te odzwierciedlają szersze wysiłki branży mające na celu przygotowanie się na to, co wielu ekspertów określa obecnie mianem „ery zagrożeń przyspieszonych przez sztuczną inteligencję”.
Gwałtowny wzrost wykrywalności luk w zabezpieczeniach przy pomocy sztucznej inteligencji już teraz zmienia praktyki w branży oprogramowania.
Firma Anthropic zwróciła uwagę na niedawne decyzje Oracle i innych dostawców oprogramowania dla przedsiębiorstw dotyczące wprowadzenia szybszych harmonogramów wydawania poprawek w odpowiedzi na coraz bardziej dynamiczne zagrożenia.
W przeszłości wiele dużych firm technologicznych stosowało kwartalne cykle aktualizacji. Jednak analiza bezpieczeństwa oparta na sztucznej inteligencji może zmusić dostawców do przejścia na miesięczne — a nawet ciągłe — modele aktualizacji zabezpieczeń.
Przedsiębiorstwa mogą wkrótce stanąć przed koniecznością całkowitego przemyślenia swojego podejścia do konserwacji oprogramowania.
Organizacje nie mogą już zakładać, że mają miesiące na testowanie i wdrażanie poprawek bezpieczeństwa. Okres między wykryciem luki a jej wykorzystaniem ulega skróceniu.
Tendencja ta budzi szczególne obawy w sektorach korzystających ze starszej infrastruktury, w tym w systemach opieki zdrowotnej, przedsiębiorstwach użyteczności publicznej, sieciach transportowych oraz agencjach rządowych, które często wymagają przeprowadzenia szeroko zakrojonych testów kompatybilności przed wdrożeniem aktualizacji.
Oprócz projektu Glasswing firma Anthropic ogłosiła uruchomienie nowego programu Cyber Verification Program, którego celem jest zapewnienie sprawdzonym specjalistom ds. bezpieczeństwa szerszego dostępu do mniej ograniczonych funkcji sztucznej inteligencji w ramach legalnych działań związanych z cyberbezpieczeństwem.
Inicjatywa ta przypomina program „Daybreak” firmy OpenAI, który zapewnia zatwierdzonym specjalistom ds. bezpieczeństwa dostęp do GPT-5.5-Cyber w celu przeprowadzania testów penetracyjnych, operacji typu red team oraz zaawansowanych badań nad lukami w zabezpieczeniach.
W ramach modelu firmy Anthropic zweryfikowani badacze będą mogli korzystać z systemów Claude z mniejszymi ograniczeniami bezpieczeństwa w kontrolowanych środowiskach w celu przeprowadzania:
- badań nad lukami w zabezpieczeniach
- operacji typu red teaming
- testów penetracyjnych
- symulacji obronnych
- audytów bezpieczeństwa
Firma stwierdziła, że celem jest zapewnienie specjalistom ds. bezpieczeństwa utrzymania „asymetrycznej przewagi” nad coraz bardziej wyrafinowanymi cyberprzestępcami.
Szersze implikacje projektu Glasswing wykraczają daleko poza samą liczbę luk w zabezpieczeniach.
Branża cyberbezpieczeństwa wkracza w nową erę, w której systemy sztucznej inteligencji nieustannie wykrywają, klasyfikują według priorytetów, wykorzystują i chronią przed słabościami oprogramowania z prędkością maszynową.
Może to zasadniczo zmienić ekonomię bezpieczeństwa cyfrowego.
W przeszłości atakujący często mieli przewagę, ponieważ działania obronne były pracochłonne, reaktywne i fragmentaryczne. Najnowocześniejsze systemy sztucznej inteligencji mogą częściowo odwrócić tę dynamikę – ale tylko w przypadku organizacji zdolnych do ich skutecznego wdrożenia.
Jednocześnie demokratyzacja zaawansowanej sztucznej inteligencji o zdolnościach cybernetycznych może również wywołać bezprecedensową eskalację działań ofensywnych.
Oczekuje się, że podmioty państwowe, grupy ransomware oraz organizacje cyberprzestępcze będą agresywnie dążyć do pozyskania podobnych technologii.
Sama firma Anthropic przyznała, że istnieje ta dwoista rzeczywistość.
„Glasswing pomaga najważniejszym z punktu widzenia systemu podmiotom zajmującym się cyberobroną uzyskać przewagę asymetryczną” – stwierdziła firma. „Istnieje jednak pilna potrzeba, aby jak najwięcej organizacji wzmocniło swoje systemy cyberobrony”.
W miarę jak cyberbezpieczeństwo oparte na sztucznej inteligencji szybko ewoluuje od badań eksperymentalnych do rzeczywistości operacyjnej, jeden wniosek staje się coraz bardziej oczywisty:
Nowa generacja konfliktów cybernetycznych może być toczona w mniejszym stopniu przez ludzkich hakerów wpisujących polecenia na terminalach, a w większym – przez autonomiczne systemy sztucznej inteligencji skanujące świat cyfrowy na skalę, której żaden zespół ludzki nigdy nie byłby w stanie dorównać.
