Project Glasswing: AI koji traži ranjivosti — ali tko ga kontrolira?
Project Glasswing: AI koji traži ranjivosti — ali tko ga kontrolira?📷 © Tech&Space
- ★Mythos otkriva desetljeće starih bugova u Windowsu i Chromeu
- ★40+ održavatelja softvera dobiva pristup — javnost ne
- ★Dvostruko bolji od Opus 4.6, ali bez real-world testova
Anthropicov Claude Mythos Preview nije samo još jedan model za generiranje teksta — prema tvrtki, u roku od nekoliko tjedana pronašao je tisuće visokorizičnih ranjivosti u kodu koji su programeri propustili desetljećima. Među njima su bugovi u Windowsu, Linux kernelu i Chromeu, a neki datiraju još iz 2000-ih.
Problem? Model neće biti javno dostupan, a pristup imaju samo 40+ održavatelja kritične infrastrukture preko zatvorenih AWS i Google Cloud okruženja.
To nije samo još jedan AI security tool. Project Glasswing, koalicija koju vode Anthropic, AWS, Google, Microsoft i Palo Alto Networks, koristi Mythos za automatsko pronalaženje, eksploatiranje i zakrpavanje sigurnosnih propusta — cijeli ciklus bez ljudske intervencije.
Prema podacima, model je dvostruko bolji od Claude Opus 4.6 na SWE-bench multimodalnim testovima, ali to su sintetički benchmarkovi, a ne dokaz da će funkcionirati u produkciji pod napadima. Čudno je da tvrtke koje inače trube o 'demokratizaciji AI-ja' ovdje namjerno ograničavaju pristup.
Anthropic kaže da je Mythos 'premoćan' za javnu upotrebu — što je, ironično, isti argument koji koriste i napadači kada kradeju modele za svoje svrhe. Pitanje nije samo može li ovaj alat poboljšati sigurnost, već tko odlučuje tko ga smije koristiti i pod kojim uvjetima.
Benchmarkovi impresioniraju, ali stvarni učinak ovisi o tko drži ključeve📷 © Tech&Space
Benchmarkovi impresioniraju, ali stvarni učinak ovisi o tko drži ključeve
Realnost je da AI-omogućeni napadi već eskaliraju — od deepfake phishinga do automatiziranog eksploatiranja zero-day ranjivosti. Glasswingov pristup 'AI protiv AI-ja' zvuči logično, ali postavlja dva ključna pitanja: 1) Može li model koji generira eksploite biti zlouporabljen? i 2) Što se događa kada tvrtke kao CrowdStrike ili Palo Alto dobiju ekskluzivni pristup alatu koji analizira konkurentske proizvode?
Prema izvorima bliskim projektu, Mythos ne radi samo statičku analizu koda — može dinamički generirati napade kako bi testirao otpornost sustava, što ga čini potencijalno opasnijim od tradicionalnih alata kao što su GitHub CodeQL ili Semgrep. Razlika je u tome što ovdje AI ne samo traži bugove, nego i sam uči kako ih iskoristiti.
To je korisno za obranu, ali i uputa za napadače koji bi, ako dođu do modela, mogli automatizirati cijeli lanac napada. Najveći paradox?
Projekt koji treba 'obraniti svijet od AI prijetnji' samo povećava centralizaciju moći. Umjesto otvorenih standarda, dobivamo zatvoreni klub tech divova koji odlučuju što je 'sigurno' podijeliti.
A ako se ispostavi da Mythos prečesto generira lažne pozitive (kao što je bio problem s ranijim verzijama Claudea) — tko snosi odgovornost kada kritični sustavi budu onemogućeni zbog AI-ove 'prevelike revnosti'?
U svakom slučaju, razvoj Mythosa i Project Glasswinga pokazuje koliko brzo se tehnologija razvija i kako se pokušava riješiti problema sigurnosti u digitalnom svijetu. No, kao i sa svakim novim tehnološkim dostignućem, postoji i strah od zloupotrebe. Kako će se ova tehnologija koristiti i kako će se spriječiti njezina zloupotreba, to su pitanja koja će se morati riješiti u skorijoj budućnosti.