Anthropic rozszerza dostęp do Mythos: AI do wykrywania podatności trafi do 150 nowych organizacji - Security Bez Tabu

Anthropic rozszerza dostęp do Mythos: AI do wykrywania podatności trafi do 150 nowych organizacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Anthropic rozszerza program Project Glasswing, którego celem jest wykorzystanie sztucznej inteligencji do poprawy bezpieczeństwa krytycznego oprogramowania. Centralnym elementem inicjatywy jest Claude Mythos Preview, czyli wyspecjalizowane narzędzie AI zaprojektowane do analizy kodu źródłowego i wykrywania potencjalnych podatności.

Decyzja o udostępnieniu rozwiązania kolejnym organizacjom potwierdza, że automatyzacja wykrywania luk staje się coraz ważniejszym filarem nowoczesnego AppSec. Szczególne znaczenie ma to w środowiskach, w których bezpieczeństwo kodu wpływa bezpośrednio na odporność infrastruktury krytycznej oraz bezpieczeństwo łańcucha dostaw oprogramowania.

W skrócie

Anthropic poinformował o rozszerzeniu dostępu do Mythos w ramach Project Glasswing o około 150 nowych organizacji. Wcześniej narzędzie było dostępne dla około 50 podmiotów, które wykorzystały je do analizy własnych baz kodu i wykryły tysiące potencjalnych problemów bezpieczeństwa.

  • Nowi uczestnicy pochodzą z ponad 15 krajów.
  • Program obejmuje sektory energii, wody, ochrony zdrowia, komunikacji i sprzętu.
  • Mythos pomógł wykryć ponad 23 tysiące potencjalnych podatności.
  • Ponad 6 tysięcy z nich może zostać potwierdzonych jako poważne luki.
  • Największym wyzwaniem pozostaje nie samo wykrycie błędów, lecz ich walidacja, priorytetyzacja i usunięcie.

Kontekst / historia

Project Glasswing uruchomiono na początku kwietnia 2026 roku jako program współpracy ukierunkowany na ochronę oprogramowania o wysokim znaczeniu operacyjnym i społecznym. Pierwsza grupa partnerów liczyła około 50 organizacji, które testowały możliwości Mythos w praktycznych scenariuszach analizy bezpieczeństwa kodu.

Rozszerzenie programu wpisuje się w szerszy trend wdrażania modeli AI w cyberbezpieczeństwie. W tym przypadku chodzi przede wszystkim o zastosowania defensywne: wsparcie secure code review, analizę dużych repozytoriów, wykrywanie błędów logicznych oraz identyfikację niebezpiecznych wzorców w komponentach szeroko używanych przez sektor publiczny i prywatny.

Znaczenie inicjatywy rośnie wraz z profilem nowych uczestników. Mowa o organizacjach, których kompromitacja mogłaby oddziaływać na dziesiątki lub setki milionów użytkowników, a także na bezpieczeństwo narodowe i międzynarodowe.

Analiza techniczna

Z technicznego punktu widzenia Mythos można traktować jako narzędzie łączące cechy klasycznej statycznej analizy bezpieczeństwa z semantycznym rozumieniem kodu oraz kontekstu działania aplikacji. Oznacza to możliwość pracy na dużą skalę, z uwzględnieniem zależności między modułami, przepływów danych oraz intencji programistycznej.

To istotna różnica względem tradycyjnych skanerów opartych głównie na regułach i sygnaturach. Systemy AI mogą skuteczniej wskazywać bardziej złożone klasy błędów, zwłaszcza tam, gdzie problem wynika z logiki biznesowej lub zestawienia kilku pozornie niegroźnych fragmentów kodu.

  • nieprawidłowa walidacja danych wejściowych,
  • błędy autoryzacji i kontroli dostępu,
  • ścieżki wykonania prowadzące do eskalacji uprawnień,
  • niebezpieczne użycie bibliotek i zależności,
  • luki logiczne trudne do wykrycia klasycznymi metodami.

Skala ujawnionych wyników pokazuje jednocześnie ograniczenia operacyjne takich wdrożeń. Sam wzrost skuteczności detekcji nie rozwiązuje problemu po stronie triage, potwierdzania zgłoszeń i bezpiecznego wdrażania poprawek. Jeżeli organizacja nie dysponuje dojrzałym procesem vulnerability management, narzędzie AI może generować wolumen wyników przekraczający możliwości zespołów AppSec i developerskich.

W praktyce oznacza to potrzebę budowy pełnego pipeline’u bezpieczeństwa obejmującego deduplikację, grupowanie podobnych ustaleń, ocenę wpływu biznesowego, testy regresji oraz koordynację remediacji i disclosure.

Konsekwencje / ryzyko

Rozszerzenie dostępu do Mythos ma dwojaki charakter. Z jednej strony zwiększa szanse na wcześniejsze wykrywanie krytycznych podatności w produktach używanych przez administrację, przemysł i użytkowników końcowych. Z drugiej strony uwidacznia skalę ukrytego długu bezpieczeństwa w istniejących bazach kodu.

  • gwałtowny wzrost liczby zgłoszeń bez proporcjonalnego wzrostu zdolności do ich usuwania,
  • przeciążenie zespołów bezpieczeństwa wynikami wymagającymi ręcznej walidacji,
  • wydłużenie okna ekspozycji z powodu opóźnień w patchowaniu,
  • trudności z odpowiedzialnym ujawnianiem błędów w projektach open source,
  • koncentracja ryzyka w popularnych komponentach i bibliotekach.

W sektorach infrastruktury krytycznej stawka jest szczególnie wysoka. Podatności wykryte w oprogramowaniu używanym w energetyce, ochronie zdrowia czy komunikacji mogą wpływać nie tylko na pojedyncze organizacje, lecz także na ciągłość świadczenia usług publicznych i odporność całych ekosystemów technologicznych.

Rekomendacje

Organizacje wdrażające narzędzia AI do wykrywania podatności powinny traktować je jako część większego programu bezpieczeństwa aplikacyjnego, a nie samodzielne rozwiązanie. Kluczowe znaczenie ma połączenie automatyzacji z procesami operacyjnymi i kontrolą jakości wyników.

  • wdrożenie formalnego procesu triage z priorytetami, SLA i ścieżkami eskalacji,
  • łączenie wyników AI z SAST, DAST, SCA, fuzzingiem i przeglądami eksperckimi,
  • walidacja rezultatów w celu ograniczenia wpływu fałszywych pozytywów,
  • priorytetyzacja według realnego wpływu biznesowego i osiągalności ścieżki ataku,
  • automatyzacja części procesu remediacji, w tym propozycji poprawek i testów regresji,
  • przygotowanie procedur responsible disclosure dla komponentów open source,
  • zabezpieczenie samego procesu użycia AI, zwłaszcza dostępu do repozytoriów i ochrony danych wrażliwych.

Z perspektywy zarządzania ryzykiem warto mierzyć efektywność takich wdrożeń nie liczbą znalezionych błędów, ale skróceniem czasu do potwierdzenia, czasu do wdrożenia poprawki oraz spadkiem liczby podatności osiągalnych z perspektywy atakującego.

Podsumowanie

Rozszerzenie Project Glasswing i dostępu do Claude Mythos pokazuje, że AI staje się pełnoprawnym narzędziem cyberbezpieczeństwa, szczególnie w obszarze analizy kodu i wykrywania podatności. Skala ujawnionych wyników sugeruje, że wiele organizacji nadal posiada znaczny zasób nieodkrytych problemów w swoich produktach i zależnościach.

Jednocześnie przewaga detekcyjna nie wystarczy bez sprawnych procesów walidacji, priorytetyzacji i patch managementu. W praktyce przewagę zyskają te podmioty, które połączą możliwości AI z dojrzałą inżynierią bezpieczeństwa i szybką remediacją.

Źródła

  1. SecurityWeek — Anthropic Expanding Mythos Access to 150 New Organizations — https://www.securityweek.com/anthropic-expanding-mythos-access-to-150-new-organizations/