En AI-modell som aldri har sett dagens lys i det offentlige, har allerede gjort en av de mest omfattende sikkerhetsgjennomgangene i internettets historie. Det er Anthropics Claude Mythos Preview det er snakk om — og selskapets beslutning om hva de skulle gjøre med funnene, skiller seg markant fra det som er vanlig i bransjen.

Hemmelig modell, massive funn

Ifølge AI News har Claude Mythos Preview identifisert tusenvis av høyrisiko-sårbarheter i samtlige store operativsystemer og nettlesere. Særlig påfallende er det at flere av hullene hadde gått uoppdaget i årevis — ett av dem i 27 år i OpenBSD, et annet i 16 år i multimediaplattformen FFmpeg — til tross for hyppige sikkerhetsgjennomganger og millioner av automatiserte tester.

Anthropic beskriver selv situasjonen direkte: «AI-modeller har nådd et nivå av kodingsevne der de kan overgå alle unntatt de mest erfarne menneskene når det gjelder å finne og utnytte programvaresårbarheter."

«Vi har en ny modell som vi eksplisitt ikke slipper til offentligheten.» — Mike Krieger, Anthropic Labs

Project Glasswing: Industrien samles

I stedet for en vanlig produktlansering har Anthropic opprettet initiativet Project Glasswing, der Mythos Preview stilles til disposisjon for et bredt knippe teknologiaktører og åpen kildekode-miljøer. Samarbeidspartnerne inkluderer Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA og Palo Alto Networks.

Målet er å bruke modellens kapasiteter til å proaktivt finne og tette sikkerhetshull i kritisk programvare — før de kan utnyttes av ondsinnede aktører.

Et skifte i trusselbildet

Funnene fra Anthropic kommer ikke i et vakuum. Forskning fra Veracode viser at hele 45 prosent av AI-generert kode på tvers av over 100 store språkmodeller inneholder sikkerhetsfeil — i Java-applikasjoner er feilraten over 70 prosent, ifølge samme rapport. Selskapet Checkmarx har på sin side dokumentert at opp mot 70 prosent av AI-generert kode kan betraktes som usikker.

Samtidig viser data at AI-drevne sikkerhetsverktøy kan forbedre deteksjonen av såkalte nulldagssårbarheter med 70 prosent, og redusere falske alarmer i trusseletterretning med opptil 90 prosent. Det betyr at sikkerhetsanalytikere kan bruke mer tid på reelle trusler.

45%
AI-generert kode med sikkerhetsfeil (Veracode 2025)
70%
Forbedret deteksjon av nulldagssårbarheter med AI

Ikke det eneste prosjektet i sitt slag

Anthropic er ikke alene om å jobbe i dette feltet. Google DeepMind har ifølge forskningsmaterialet utviklet CodeMender, en AI-drevet agent basert på Gemini Deep Think-modeller, som allerede skal ha bidratt med 72 sikkerhetsrettinger til åpen kildekode-prosjekter. Selskaper som Snyk og DeepKeep arbeider også med hybride tilnærminger som kombinerer maskinlæring med menneskelig ekspertise.

Eksperter mener AI-kapabilitetene nå har passert en terskel som fundamentalt endrer hastegraden for å beskytte kritisk infrastruktur.

Ansvarlig tilbakeholdelse — eller farlig presedens?

Anthropics valg om å holde Mythos Preview unna offentligheten reiser prinsipielle spørsmål. På den ene siden er det et tydelig signal om at selskapet tar det som kalles «responsible disclosure» på alvor — det gir berørte parter tid til å lappe hullene før de er allment kjent. På den andre siden betyr det at en svært kraftig sikkerhetsmodell nå opererer i et lukket, industrielt konsortium uten offentlig innsyn.

Det er verdt å merke seg at detaljene rundt Project Glasswing foreløpig kun er kjent gjennom Anthropics egne uttalelser og AI News' dekning. Uavhengig verifisering av omfanget og sammensetningen av sårbarhetene som er funnet, er så langt ikke tilgjengelig.

At halvparten av cybersikkerhetseksperter allerede i 2025 brukte AI til å spotte sårbarheter i kode, ifølge bransjedata, antyder at dette ikke lenger er en nisjeaktivitet — men en ny standard for hvordan digital infrastruktur beskyttes.