Anthropic: Project Glasswing pronašao 10.000 visokorizičnih ranjivosti u prvom mjesecu rada s Claude Mythos Preview

Anthropic je 22. svibnja 2026. objavio prvi mjesečni izvještaj o Project Glasswingu, inicijativi koja koristi Claude Mythos Preview model za skeniranje kritičnog softvera u potrazi za ranjivostima prije nego ih napadači mogu iskoristiti. Project Glasswing okuplja oko 50 vanjskih partnera, među kojima su sigurnosni timovi Mozille, UK AI Safety Institutea i XBOW-a, koji koriste Mythos modele kroz strukturirani research-preview program. U prvih mjesec dana rada partneri su prijavili više od 10.000 visokorizičnih i kritičnih ranjivosti kroz vlastite proizvodne kodne baze.

Anthropic je istovremeno pokrenuo i otvoreni open-source program kojim Glasswing automatizirano skenira 1.000+ JavaScript, Python i Rust projekata na GitHubu i drugim platformama. U tom dijelu programa Mythos je pronašao 6.202 visokorizične i kritične ranjivosti uz stopu istinitih pogodaka od 90,6 posto, mjereno u koordiniranom triage procesu s održavateljima projekata.

Kako Project Glasswing tehnički radi?

Project Glasswing kombinira Claude Mythos Preview model s pipeline-om koji prima izvorni kod, gradi semantički model funkcija i meta-podataka, te zatim instruira model da pronalazi specifične klase ranjivosti — memory safety propuste, deserialization gadgete, race condition uvjete, hardcoded kredencijale i logičke pogreške u kontrolama autorizacije. Mythos generira hipoteze, pokušava ih reproducirati u sandbox okruženju, i tek validirane nalaze prosljeđuje ljudskim review timovima.

Anthropic tvrdi da Mythos otkriva propuste koje tradicionalni statički analizatori i fuzzeri promaše jer kombinira semantičko razumijevanje s ciljanim eksperimentiranjem. Mozilla je u koordiniranoj objavi navela da je Mythos kroz Glasswing program u Firefox kodnoj bazi pronašao 10 puta više potvrđenih ranjivosti nego prethodne runde internog i vanjskog penetration testiranja.

Što partneri koriste i kakvi su rezultati?

Među prijavljenim brojkama Anthropic je istaknuo nekoliko konkretnih partnera. Mozilla je objavila da Mythos otkriva sigurnosne propuste 10× brže od dosadašnjih audit timova u Firefox kodnoj bazi. UK AI Safety Institute koristi Glasswing za neovisnu verifikaciju nalaza i evaluaciju ofenzivnih kapaciteta modela. XBOW, kompanija specijalizirana za autonomne penetration testere, integrira Mythos u svoj autonomni penetration agent.

Što ovo mijenja u kibernetičkoj sigurnosti?

Anthropic eksplicitno tvrdi da je glavno usko grlo sad pomaknuto s otkrivanja ranjivosti na njihovu verifikaciju i patching. Tisuće potvrđenih kritičnih propusta čekaju koordiniranu objavu i ispravak, što stavlja pritisak na maintainere open-source projekata i sigurnosne timove proizvođača. Ovo je strukturna promjena u kibernetičkoj sigurnosti — desetljećima je tvrdnja “ne možemo pratiti broj prijavljenih ranjivosti” bila opravdanje za propušteni patching; sada postaje izlika za nedovoljnu organizaciju.

Zašto Mythos modeli ostaju zatvoreni?

Anthropic je u istom dokumentu pojasnio da Mythos modeli za sada ostaju u Preview pristupu bez šire javne dostupnosti. Razlog je dual-use rizik: ista sposobnost koja partnerima pomaže pronaći i zatvoriti ranjivosti omogućila bi i napadačima da automatizirano traže propuste u proizvodnim sustavima. Anthropic procjenjuje da trenutni safeguardi — uključujući rate-limiting, kontrolu pristupa kroz partnerski program, i monitoring upita — nisu dovoljni za neograničenu javnu distribuciju.

UK AI Safety Institute je tu procjenu nezavisno potvrdio kroz svoju evaluaciju ofenzivnih kapaciteta Mythos modela. Anthropic najavljuje proširenje partnerskog programa u sljedećim mjesecima i razvoj snažnijih safeguarda koji bi mogli omogućiti širi pristup tijekom 2027.