Claude Mythos pronašao 10.000 ranjivosti u softveru za samo 30 dana

Anthropicov neobjavljen model u sklopu Project Glasswing inicijative identificirao ranjivosti koje su preživjele decenije automatizovanog testiranja i revizije od strane najskupljih sigurnosnih timova na svijetu.

Anthropic je objavio da je njegov najnapredniji neobjavljen AI model, Claude Mythos Preview, pronašao više od 10.000 kritičnih i ozbiljnih sigurnosnih propusta u najvažnijem globalnom softveru u periodu od samo jednog mjeseca. Ranjivosti su identifikovane u sklopu Project Glasswing, inicijative koja uključuje kompanije poput Microsofta, Googlea, Applea, Cisca, CrowdStrikea i JPMorganChasea. Rezultati potvrđuju ono čega se sigurnosna industrija bojala godinama: AI je dostigao nivo na kome može pronalaziti propuste brže nego što ih ijedan tim ljudskih stručnjaka može zakrpati.

Šta se tačno desilo

Project Glasswing je program koji Anthropic vodi zajedno s dvanaest vodećih tehnoloških kompanija, uz još oko 50 dodatnih partnera koji su dobili rani pristup modelu Claude Mythos Preview za sigurnosna testiranja. Model je opisan kao "opštenamenski neobjavljen model graničnih sposobnosti" koji može nadmašiti sve osim najiskusnijih ljudskih sigurnosnih stručnjaka u pronalaženju i iskorištavanju softverskih ranjivosti.

Ukupni rezultati jednog mjeseca rada:

• Više od 10.000 ranjivosti klasifikovanih kao visoke ili kritične ozbiljnosti pronađeno u partnerskim testiranjima
• 6.202 visoke ili kritične ranjivosti u više od 1.000 open-source projekata koje je Anthropic testirao autonomno
• Od toga 1.726 potvrđenih kao validni propusti, 1.094 visoke ili kritične ozbiljnosti
• 97 ranjivosti zakrpano, 88 sigurnosnih obavještenja objavljeno

Konkretni primjeri pokazuju koliko je impresivno, ali i zastrašujuće, ono što je model pronašao. U OpenBSD-u, operativnom sistemu čuvenom po sigurnosti koji se koristi za firewalle kritične infrastrukture, Mythos je otkrio ranjivost staru 27 godina koja je napadaču omogućavala da remotely sruši svaki sistem koji ga koristi. U FFmpeg-u, biblioteci za video kodiranje koja se koristi u bezbroj aplikacija, pronašao je propust u liniji koda kroz koju su automatizovani alati prošli pet miliona puta bez detekcije. U Linux kernelu, koji pokreće većinu svjetskih servera, model je autonomno pronašao i ulančao više ranjivosti kako bi napadaču omogućio eskalaciju s običnih korisničkih na potpune administratorske privilegije.

Cloudflare je uz pomoć modela otkrio više od 2.000 bugova, od kojih 400 visoke ili kritične ozbiljnosti. Mozilla je u Firefox browseru identificikovala 271 ranjivost, deset puta više nego korištenjem starijeg Claude modela.

Kontekst zašto je ovo prekretnica

Ono što odvaja ovo najavljenje od ranijih AI sigurnosnih alata nije samo broj pronađenih ranjivosti, nego to da je model pronašao propuste koji su preživjeli decenije profesionalne revizije i milione automatizovanih testova.

CyberGym benchmark, koji mjeri sposobnost reprodukovanja poznatih sigurnosnih ranjivosti, pokazuje da Mythos Preview postiže 83,1% uspješnosti, u poređenju s 66,6% za Claude Opus 4.6. Na SWE-bench Verified benchmarku za kodiranje, model postiže 93,9%.

Postoji i direktna paralela s inicijativama konkurenata. OpenAI je lansirao sličan program pod imenom Daybreak, koji korištenjem modela GPT-5.5-Cyber omogućava pristup ofanzivnim sigurnosnim sposobnostima za ovlaštene istraživače. Obje kompanije zadržale su ove modele izvan javne dostupnosti zbog potencijala za zloupotrebu.

Posebno vrijedan pažnje je i novi problem koji je nastao: ranjivosti se sada pronalaze brže nego što developeri mogu razviti i primijeniti zakrpe. Neki open-source maintaineri zatražili su od Anthropica da uspori tempo otkrivanja jer jednostavno nemaju kapacitet za toliko sigurnosnih popravki u kratkom roku.

Naša perspektiva šta ovo znači za firme u regionu

Ovaj razvoj ima direktne implikacije za kompanije u BiH, Srbiji, Hrvatskoj i ostatku regiona, i to na dva nivoa.

Za IT firme i razvojne timove: Softver koji gradite, kao i biblioteke koje koristite (FFmpeg, OpenSSL, WolfSSL, Linux kernel komponente), sada su potencijalno izloženi napadačima koji imaju pristup sličnim AI alatima. Ranjivost u WolfSSL biblioteci za kriptografiju (CVE-2026-5194, CVSS skor 9.1) koja je otkrivena u sklopu Glasswing-a omogućavala je lažiranje certifikata i maskiranje napadača kao legitimnog servisa. Svaka firma koja koristi WolfSSL u embedded sistemima ili IoT uređajima treba provjeriti status zakrpe odmah. Kraće patch cikluse, multi-faktorsku autentifikaciju i sveobuhvatne logove sada Anthropic eksplicitno navodi kao minimax sigurnosni standard.

Za firme koje podliježu EU NIS2 direktivi: Kompanije u sektoru energetike, finansija, zdravstva i digitalnih usluga u regionu već su pod obavezom NIS2 direktive da demonstriraju sigurnosne prakse upravljanja ranjivostima. Project Glasswing efektivno mijenja standard industrijskog benchmarka. Argumentacija "nismo znali za tu ranjivost" postaje sve teže odbranjiva u kontekstu u kome AI alati mogu autonomno skenirati cijele kodne baze za dan.

Zaključak

Sigurnosna industrija godinama govori da je problem s cyber ranjivostima to što napadači pronalaze propuste brže nego branitelji. Mythos Preview je taj problem preformulisao sada i branitelji mogu pronalaziti ranjivosti nevjerovatnom brzinom, ali proces zakrpavanja i primjene popravki ostaje spor. Taj jaz je nova kritična tačka.

Za narednih 90 dana Anthropic obećava javni izvještaj o svemu što je naučeno. Firme koje koriste open-source softver, embedded sisteme ili kritičnu infrastrukturu trebaju pratiti taj izvještaj i provjeriti status CVE-ova koji se odnose na biblioteke koje koriste.

Ako hoćeš da budeš prvi koji sazna kada se ovakve vijesti objave, prijavi se na AI Balkan newsletter i svake sedmice dobijaš najvažnije AI vijesti s fokusom na poslovnu i sigurnosnu primjenu u regionu.

Izvori:

• Project Glasswing: Securing critical software for the AI era
• Claude Mythos AI Finds 10,000 High-Severity Flaws in Widely Used Software