Claude Mythos: Model tak silný, že ho Anthropic raději zamkl. Za dva týdny unikl přístup
Claude Mythos našel 271 zranitelností ve Firefoxu během jednoho průchodu. Pak z něj unikl přístup. Týden, který přepsal pravidla hry ve vulnerability managementu.
Sedmého dubna Anthropic oznámil, že má model, který umí najít zranitelnosti v kritickém softwaru rychleji a levněji než nejlepší lidští výzkumníci. A že ho nezveřejní. Místo toho ho nechá k dispozici dvanácti jmenovaným partnerům a zhruba čtyřiceti dalším organizacím, které veřejně nepojmenoval. Program se jmenuje Project Glasswing, model Claude Mythos Preview.
O dva týdny později, 21. dubna, Bloomberg odhalil, že k modelu získala přístup neautorizovaná skupina – přes prostředí jedné z Anthropic dodavatelských firem.
Tohle není další článek o hype kolem AI. Je to pokus shrnout, co se ve skutečnosti stalo, proč to může změnit pravidla vulnerability managementu a co s tím mohou dělat firmy, které na seznamu vyvolených nejsou.
Co je Project Glasswing
Jméno podle motýla, jehož křídla jsou průhledná – měl by evokovat transparentnost. Iluze průhlednosti ale končí u názvu. Glasswing je uzavřená koalice, která má přístup k modelu Claude Mythos Preview s následujícím cílem: najít a opravit zranitelnosti v kritickém softwaru dřív, než je najde někdo jiný.
Co Anthropic zveřejnil:
- 100 milionů USD v usage creditech na Claude Mythos Preview napříč účastníky
- 2,5 milionu USD v donaci pro Alpha-Omega a OpenSSF (přes Linux Foundation)
- 1,5 milionu USD pro Apache Software Foundation
- Seznam 12 launch partnerů: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks a Anthropic sám
- „Over 40 additional organizations“ s rozšířeným přístupem – jmenovitě nezveřejněných
Žádná čínská firma v programu není. Anthropic odůvodňuje výběr rizikem „adversarial distillation“ tedy snahy konkurenčních laboratoří, zejména čínských, extrahovat schopnosti frontier modelů.
Claude Mythos Preview: čísla, která stojí za zmínku
Mythos je frontier model hodnocený podle Responsible Scaling Policy verze 3.0 – a zároveň první model Anthropic, který se společnost rozhodla do běžného provozu nepouštět. Podle vlastních slov společnosti je to „best-aligned model we have trained to date.“ Přesto zůstává v preview.
Klíčové benchmarky podle UK AI Security Institute a Anthropic technical report:
- Cybench (35 CTF úloh): 100% pass@1 – první model, který saturoval benchmark
- CyberGym (directed vulnerability reproduction): 83,1 % vs. 66,6 % u Opus 4.6
- AISI expert-level CTF: 73 % success rate
- „The Last Ones“ simulovaný 32krokový firemní útok s odhadem ~20 lidských hodin: 3 plné průchody z 10, průměr 22 kroků (Opus 4.6: 16 kroků)
Konkrétnější čísla z technického reportu:
- Exploit Firefox 147 JavaScript enginu: Opus 4.6 uspěl 2× ze stovek pokusů, Mythos 181× vytvořil funkční exploit a v dalších 29 případech získal kontrolu nad registry
- OSS-Fuzz benchmarking: Opus 4.6 dosáhl tier 1 v 150–175 případech. Mythos dosáhl 595 crashů na tier 1 a 2, desítky na tier 3 a 4, plný control-flow hijack na deseti plně zapatchovaných targetech
- Profesionální pentesteři manuálně validovali 198 reportů – 89 % posouzení závažnosti přesně odpovídalo jejich vlastním, 98 % v rámci jednoho severity levelu
Ekonomika. Podle system card stálo jedno úspěšné odhalení OpenBSD zranitelnosti pod 50 USD v API nákladech. Kompletní privilege escalation chain na Linuxu: pod 2 000 USD a půl dne práce. Po research preview by nástupnické modely měly stát 25 USD za milion input tokenů a 125 USD za milion output tokenů.
Pro srovnání: elitní lidský výzkumník zranitelností stojí řádově více za hodinu. A neškáluje se paralelně.
Firefox 150: case study, která vysvětluje hype
Mozilla ve Firefoxu 150 zaplatovala 271 zranitelností, které našel Mythos v jediném evaluation passu. Předchozí generace Claude Opus 4.6 našla ve Firefoxu 148 dvaadvacet bugů. Dvanáctinásobný skok za jednu release cycle.
Tady stojí za to číst pozorně. Z těch 271 je v oficiálním Mozilla advisory AI explicitně credited u tří CVE: CVE-2026–6746, CVE-2026–6757 a CVE-2026–6758. Zbytek spadá do kategorií defense-in-depth, hardening a non-exploitable code paths. Mozilla to komentovala dvěma protichůdnými citáty v témže postu: „no category or complexity of vulnerability that humans can find that this model can’t“ a zároveň „hasn’t seen any bugs that couldn’t have been found by an elite human researcher.“
Obě věty platí. Mythos nenašel nic, co by nenašel geniální lidský výzkumník. Našel ale daleko víc věcí a daleko rychleji.
Leak, který rámuje celou věc jinak
- dubna Bloomberg zveřejnil, že k Mythos Preview získala přístup skupina z Discord kanálu, který systematicky monitoruje nezveřejněné AI modely. Cesta: jeden aktuálně zaměstnaný člověk u third-party dodavatele pracujícího pro Anthropic. Skupina si podle reportu tipla URL podle vzoru, který Anthropic používá pro jiné modely – a trefila se.
Oficiální stanovisko Anthropic pro Bloomberg: „investigating a report claiming unauthorized access to Claude Mythos Preview through one of our third-party vendor environments… There is currently no evidence that Anthropic’s systems are impacted.“
Ironie je zřejmá. Celá Glasswing teze stojí na tom, že omezený, kontrolovaný přístup k Mythosu je bezpečnější než otevřené release. Leak ukázal, že „omezený“ znamená v praxi „tak pevný jako nejslabší článek dodavatelského řetězce.“
Bruce Schneier to ve svém blogu shrnuje suše: „Secrecy rarely leads to better long-term security. Security has always thrived on transparency, independent evaluation, and collective resilience.“ Jeho argument je, že Anthropic – soukromá firma, která sama sebe stále popisuje jako start-up – dělá unilaterální rozhodnutí o tom, které části globální kritické infrastruktury se budou chránit dřív. A to je governance problém, ne bezpečnostní.
Co říkají regulátoři
Týden po oznámení už zasedali:
- US Treasury a Fed svolali urgentní meeting s CEO velkých bank
- Japonská FSA sezvala vedení Mitsubishi UFJ, SMBC, Mizuho, BoJ a Tokyo Stock Exchange
- Bank of England oficiálně studuje implikace pro cybercrime riziko
- ECB ústy Christine Lagarde upozornila, že pro nástroj tohoto dosahu zatím neexistuje žádný governance framework
- EU vede diskuze s Anthropic o dopadu na AI Act
Na druhé straně oceánu akcie čínských kyberbezpečnostních firem Qi An Xin, Sangfor a 360 Security rostly několik dní po oznámení Glasswing. Čtení trhu je jednoznačné: když jedna strana dostane silný nástroj do ruky a druhá ne, druhá strana si ho vyrobí sama.
Kritika, která stojí za čtení
Tři úhly, které jsou podle nás nejrelevantnější:
1. Transparency vacuum. Čtyřicet firem sdílí technická data a best practices v soukromém kruhu, který ostatním není veřejný. The Register to shrnul: „Unlike its namesake butterfly, there’s little real transparency.“
2. Antitrust. ProMarket upozornil, že „information-sharing protocols or the collective decision to exclude those outside the coalition risk being categorized as an illegal restraint of trade.“ Glasswing je z pohledu práva kartelového práva novým teritoriem.
3. Jagged frontier. AISLE – komerční bezpečnostní firma – dokázala replikovat část Mythosem nalezených zranitelností staršími, veřejně dostupnými modely. AI capability v bezpečnosti podle nich není plynulá funkce velikosti modelu, ale „jagged“ někde výrazně lepší, někde srovnatelná, někde horší.
Kombinace těchto tří argumentů naznačuje něco, co stojí za pozornost: rozdíl mezi Mythosem a veřejnými modely není propast, kterou leak okamžitě zavře. Je to spíš úlevový ventil pro skupinu, která i tak měla náskok.
Co to znamená pro firmu, která v Glasswing není
Pokud jste SME, municipalita nebo SaaS tým pod 100 lidí, dopad na vás je nepřímý, ale reálný:
1. Software, který používáte, bude postupně bezpečnější. Firefox, Linux kernel, Apache, klíčové OSS knihovny – to vše dostane silnější skenování. Ale: podle Anthropic system card zůstává přes 99 % nalezených zranitelností zatím bez patche. Okno mezi objevem a opravou se prodlužuje, ne zkracuje.
2. Útočníci dostanou ekvivalentní nástroje dřív, než čekáte. Leak ukázal, že kontrola nad frontier modely je v dodavatelském řetězci netěsná. AISLE ukázala, že srovnatelné věci jdou i s veřejnými modely. Do roka nebude offensive vulnerability discovery exkluzivita elitního pentestera.
3. Cyber pojištění začne přepsávat smlouvy. Insurance Business MAG už píše o „cyber risk aggregation fears“ pojišťovny řeší, jak reagovat na scénář, kdy AI najde zero-day v knihovně, kterou používají tisíce firem najednou. Stojí za to zkontrolovat, co vaše pojistka pokrývá.
4. Vulnerability management se zlomí na objemu. IANS Research to pojmenovala jako „next challenge“: běžná firma neumí absorbovat stovky CVE měsíčně. Priorizace a automatizace patchingu se z nice-to-have stává provozní nutností.
Co dělat teď
Žádný z těchto kroků není raketová věda. Všechny jsou jen urgentnější než před třemi týdny.
- Dependency scanning a automatizované patchování. Pokud ještě nemáte Dependabot nebo ekvivalent nad všemi repozitáři, je čas. Na internet-facing systémy: patch kritických CVE do 24 hodin.
- Inventář toho, co vůbec máte vystavené. Nejhorší zranitelnost je ta, o které ani nevíte, že vám patří. Staging prostředí, staré subdomény, testovací API – všechno by mělo být v jednom seznamu.
- Audit dodavatelského řetězce. Glasswing leak proběhl přes třetí stranu. Stejným způsobem se k vám dostane cokoliv jiného. Zeptejte se vašich kritických dodavatelů na jejich third-party access management.
- Incident response plán, který není jen v hlavě. Když útok přijde ve 3 ráno, ztratíte první hodinu hledáním telefonů. Krátký dokument s kontakty a eskalační maticí stojí zlomek toho, co ušetří.
- Pravidelný externí audit. Frekvence jednou ročně už teď nestačí na tempo, ve kterém nové CVE přibývají. Polroční cadence a tenký průběžný monitoring dávají smysl i pro menší firmy.
Víc k obecnému rámci jsme psali minulý týden v článku Jak se bránit AI útokům a zůstat v bezpečí. Glasswing ten argument jen zrychluje.
Závěr
Claude Mythos není průlom v tom, co AI ve vulnerability discovery umí. Zkušení výzkumníci věděli, kam tahle čára směřuje, minimálně od Cybench evaluací v roce 2025. Je to průlom v tom, že Anthropic byl první, kdo sáhl po modelu, který překročil interní prahy, a rozhodl se ho nepouštět. A zároveň první, komu z toho uzavřeného kruhu během dvou týdnů unikl přístup.
Pro firmy, které nejsou na seznamu, z toho plyne jednoduchý závěr: nečekejte, že vás ochrání něčí koalice. Schopnost automatizovaně skenovat vlastní kód, rychle patchovat a vědět, co je vystavené na internetu, byla důležitá už předtím. Teď je to minimum, které oddělí firmy, které incident ustojí, od těch, které ne.
Chcete vědět, jak na tom je vaše infrastruktura? V rámci Quick Auditu projdeme vaše systémy a sepíšeme konkrétní doporučení.
Zdroje:
- Anthropic: Project Glasswing
- Anthropic Red: Claude Mythos Preview
- UK AISI: Evaluation of Claude Mythos Preview’s cyber capabilities
- Bloomberg: Mythos model accessed by unauthorized users
- Schneier on Security: On Anthropic’s Mythos Preview and Project Glasswing
- SecurityWeek: Claude Mythos finds 271 Firefox vulnerabilities
- ProMarket: Antitrust risks of Project Glasswing
- IANS Research: Project Glasswing exposes vulnerability management challenge
Čtěte dál:
Zaujal vás článek?
Rádi s vámi probereme, jak vám můžeme pomoct.