Titkos szuperfegyver a hackerek előtt
A Project Glasswing lényege, hogy 12 nagy technológiai és pénzügyi cég, például a Microsoft, a Google, az AWS, az NVIDIA, az OpenAI, az IBM, a Cisco, a CrowdStrike, a JPMorgan Chase, a Citigroup, a Broadcom, sőt maga a Linux Foundation is közösen használhatja a Claude Mythos Preview-t, hogy előre megtalálják és folyamatosan befoltozzák a kritikus szoftverhibákat a létfontosságú rendszerekben, még azelőtt, hogy a bűnözők kihasználnák őket. Az Anthropic további 40 szervezet számára is biztosít hozzáférést, 100 millió dollár (kb. 36 milliárd forint) értékű felhasználói kreditet és további 4 millió dollár (mintegy 1,44 milliárd forint) közvetlen támogatást adva a nyílt forráskódú biztonsági csapatoknak.
Miért túl veszélyes a Claude Mythos Preview?
A Mythos középpontjában egy általános célú MI-modell dolgozik, amely máris több ezer, korábban ismeretlen, magas kockázatú (zero-day) sebezhetőséget talált meg minden nagyobb operációs rendszerben, böngészőben és kritikus szoftverben. Ezek olyan hibák, amelyeket még a fejlesztők sem ismertek, és amelyeket támadók is felfedezhettek volna.
Az Anthropic nem adja ki ezt a modellt széles körben – szerintük a civilizációs károkozás kockázata túl nagy lenne, ha felelőtlen kezekbe kerülne. Az MI teljesen önállóan, emberi irányítás nélkül talált meg évtizedes hibákat: egy 27 éves, tűzfalakban és kritikus infrastruktúrában is használt BSD-alapú operációs rendszerben rejtőző rést (amely távoli összeomlást okozott), egy 16 éves hibát az FFmpeg videófeldolgozó könyvtár kódjában (amit 5 millió automata teszt sem szúrt ki), valamint önállóan láncolt össze több hibát a Linux kernelben, hogy rendszergazdai jogokat szerezzen.
Mindhárom hibát már javították, a többi részleteit az Anthropic kriptográfiai hash-ekkel hitelesítve dokumentálta, és a foltozás után nyilvánosságra is hozzák. Benchmarkokon is kiemelkedő: például a MITRE MAPS teszten 83,1%-ot, míg a következő legjobb modelljük csak 66,6%-ot ért el. Programozásban pedig 93,9%-os eredményt hozott a SWE-bench Verified teszten.
Hogyan lehet felelősen kezelni a hibazáport?
Például mi történik, ha hirtelen több ezer új, kritikus hibajegyet kapnak a nyílt forráskódú projektek karbantartói, akik zömmel önkéntesek, fizetés nélkül? Az Anthropic szerint teljesen átszervezték a hibajelentések folyamatát: minden hibát először MI ellenőriz, majd súlyosság szerint emberek válogatják tovább, közvetlen validálással hitelesítve a jelentéseket, így kizárólag megbízható, minőségi anyag kerül a fejlesztőkhöz. Egy projektre sosem zúdítják egyszerre a hibákat, mivel mindig egyeztetnek a karbantartókkal a tempóról, és ahol van lehetőség, javítási javaslatot is csatolnak, jelezve, hogy azt MI generálta-e.
A foltozás után általában 45 napot várnak, mielőtt a teljes technikai részleteket nyilvánosságra hozzák, hogy a felhasználók biztonságban frissíthessenek. Ez lerövidülhet, ha az információk máshol már elérhetők, vagy épp hosszabb lehet, ha komplexebb a javítás.
Botlások, bizalom, kiszivárgások
Sokatmondó, hogy miközben az Anthropic most a világ legbiztonságosabb MI-modelljének letéteményese akar lenni, az elmúlt hónapokban kínos bakikkal került a hírekbe. Például kiszivárgott egy vázlatos blogbejegyzés a Mythosról egy hibás CMS-beállítás miatt, ami 3000 belső fájlt tett hozzáférhetővé. Néhány nap múlva pedig véletlenül a Claude Code npm-csomagjának teljes, 512 ezer soros kódját is nyilvánossá tették három órára.
Az Anthropic mindkét ügyet emberi figyelmetlenségnek, nem pedig rendszerszintű hackertámadásnak tartja. A cégnél hangsúlyozzák: sem az MI-modell súlyaihoz, sem a tréninginfrastruktúrához, sem az API-hoz nem jutottak hozzá illetéktelenek. De attól még, hogy ezek nem valódi támadások, presztízsveszteség szempontjából komolyak, főleg, ha állami vagy óriáscégektől várják az együttműködést.
Mit találtak a partnerek a Mythos Preview-val?
A partnerszervezetek között igazi riválisok is vannak, és többen már hetekkel ezelőtt lefuttatták a Mythos Preview-t a saját kritikus rendszereiken. Például a CrowdStrike technológiai igazgatója szerint az MI annyira lerövidítette a támadók és védők közti időablakot, hogy ma már percek alatt lehet egy hibából zsarolóprogramot készíteni. Az AWS, a Microsoft és a Linux Foundation is azt tapasztalta: a Mythos új szintre emelte az észlelést és a védekezés lehetőségeit, amit eddig csak a legnagyobb szervezetek engedhettek meg maguknak – a Glasswinggel ez most szélesebb kör számára elérhető. Az Anthropic összesen 2,5 millió dollárt adományozott olyan nyílt forrású kezdeményezéseknek, mint az Alpha-Omega és az OpenSSF.
Gigászi számítási kapacitás, IPO-álmok
A Claude Mythos Preview kutatási fázisában speciális kreditekkel lehet hozzáférni, utána a szolgáltatás nagyjából 9 ezer forint/millió input token, illetve 45 ezer forint/millió output token áron lesz elérhető az Anthropic platformján, a Google Cloud Vertex AI-ban és az AWS-en keresztül. Nem véletlen, hogy a cég brutális szerverpark-bővítésbe kezdett: a Google és a Broadcom összesen 3,5 gigawattnyi számítási kapacitást ad az MI számára – ez már-már atomerőművi teljesítmény. Ezek a szerződések és az évi 30 milliárd dolláros bevétel a cég lehetséges tőzsdére lépését is elősegíthetik.
Számít-e, hogy kié az MI előnye?
Az MI fejlődése most már hónapokban, nem években mérhető. Míg a DARPA tíz éve még csak álmodozott olyan kiberbotokról, amelyek képesek automata hibajavításra, addig ma egy, a kutatási fázison túli MI önállóan talál, láncol és kiaknáz kernelhibákat akár 27 éves múltra visszatekintő rendszerekben is. Az Anthropic szerint a védőknek már csak néhány hónapjuk van, mielőtt a támadók is hasonló szintű fegyverekhez jutnak.
Például 2025 novemberében a cég azt is elárulta, hogy egy kínai állami hackercsoport képes volt a Claude-dal a komplex, célzott támadásait harminc célpont ellen 80–90%-ban automatizálni. Ez most a futóverseny új szakasza: az Anthropic abban bízik, hogy a transzparens, ellenőrzött hozzáférés adhat némi előnyt a védekezőknek, mielőtt a lavina visszafordíthatatlanná válna. Hogy ez sikerül-e, vagy a Mythos túl könnyen visszaélhetővé válik, a következő hónapokban derül ki.
