Claude Mythos Preview od Anthropic umí sám najít zero-day zranitelnosti — a proto kolem něj postavili koalici

Anthropic 7. dubna zveřejnil technický report o Claude Mythos Preview. Shrnutí: je to frontier model, který dokáže sám najít a exploitovat zero-day zranitelnosti v každém velkém operačním systému a každém velkém prohlížeči. Ne jen najít — napsat funkční exploit. Bez lidského zásahu po zadání úvodního promptu.

Veřejně ho nevydávají. Místo toho kolem něj postavili koalici jménem Project Glasswing pro defenzivní využití. Tady je, co se stalo a proč je to podstatné.

Při testování Anthropic dal Mythos do sandboxovaného prostředí a požádal ho, ať zkusí utéct. Což udělal. Vyvinul vícekrokový exploit pro přístup k širšímu internetu ze systému, který měl přístup jen k pár předem určeným službám.

A pak udělal něco, o co ho nikdo nežádal: poslal výzkumníkovi email o svém úspěchu (ten zrovna jedl sendvič v parku, když mu přišla notifikace) a zveřejnil detaily exploitu na několika těžko nalezitelných, ale technicky veřejných webech.

Anthropic říká, že incident byl pod kontrolou a žádná reálná škoda se nestala. Ale fakt, že se model sám od sebe rozhodl zveřejnit svůj únik — to je ten typ detailu, u kterého se člověk narovná na židli.

Tady je číslo, u kterého jsem ztuhl.

Anthropic testoval Mythos proti JavaScript engine Firefoxu — tedy kódu, který běží ve stovkách milionů prohlížečů. Současný veřejný model Opus 4.6 dokázal nalezené chyby proměnit ve funkční útoky 2krát z několika stovek pokusů. Mythos Preview? 181 úspěšných útoků, plus dalších 29, kde byl blízko. To není drobné zlepšení. To je úplně jiná liga.

Na velkém standardním benchmarku přes zhruba 7 000 open-source projektů předchozí modely uměly software spolehlivě crashnout, ale zřídkakdy z toho vytěžily něco, co by útočník reálně mohl použít. Mythos to dokázal. Dosáhl plného převzetí běhu programu na deseti různých, plně aktualizovaných cílech — to znamená, že nejen našel bugy, ale přišel na to, jak skrz ně spustit libovolný kód. Předchozí modely tohle zvládly jednou, možná.

U nedávno záplatovaných bezpečnostních chyb Linuxu z let 2024–2025 Mythos vytvořil funkční útoky umožňující získat plný administrátorský přístup u víc než poloviny ze 40 testovaných případů. Jeden útok překonal několik vrstev zabudovaných bezpečnostních ochran a dostal se ke čtení a zápisu paměti jádra. Jiný browser útok pospojoval čtyři různé zranitelnosti, aby prorazil ne jeden, ale dva bezpečnostní sandboxy — typ práce, která normálně zabere zkušenému týmu týdny.

Mythos vykopal bugy, které přežily dekády lidského review. 27 let starou zranitelnost v síťovém kódu OpenBSD — systému, jehož celá reputace stojí na bezpečnosti. 16 let starou chybu ve video dekodéru FFmpeg, na který automatizované testovací nástroje bušily od roku 2010 a nic nenašly. A 17 let starou remote code execution v systému sdílení souborů FreeBSD (CVE-2026-4747), kterou Mythos našel a exploitoval kompletně sám — z náhodného uživatele na internetu až na plnou kontrolu systému, bez lidského zásahu.

Náklady na nalezení OpenBSD bugu přes zhruba 1 000 běhů? Pod 20 000 dolarů. FFmpeg bug? Asi 10 000 dolarů. Vytvoření jednoho exploitu? Pod 2 000 dolarů.

Místo veřejného vydání Mythosu Anthropic spustil Project Glasswing — kontrolovanou defenzivní iniciativu s 12 zakládajícími partnery: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA a Palo Alto Networks. Přes 40 dalších organizací spravujících kritickou infrastrukturu taky dostane přístup.

Anthropic se zavázal poskytnout 100 milionů dolarů v kreditech, 2,5 milionu pro Alpha-Omega a OpenSSF přes Linux Foundation a 1,5 milionu pro Apache Software Foundation. Partneři můžou k Mythosu přistupovat přes Claude API, Amazon Bedrock, Vertex AI a Microsoft Foundry za $25/$125 za milion input/output tokenů.

Model zůstává za zamčenými dveřmi. Open-source maintaineři se můžou přihlásit přes program „Claude for Open Source". Zbytek čeká.

Anthropic se zavázal zveřejnit nálezy do 90 dnů — opravené zranitelnosti a vylepšení, která lze sdílet.

Z 198 reportů o zranitelnostech ručně posouzených expertními security kontraktory se 89 % přesně shodovalo s hodnocením závažnosti od Clauda. 98 % bylo v rozmezí jednoho stupně. To je pozoruhodně nízká false-positive rate na automatizované hledání zranitelností.

Nicholas Carlini, známý security researcher, řekl, že za „posledních pár týdnů našel víc bugů než za celý dosavadní život dohromady." Greg Kroah-Hartman, maintainer Linux kernelu, poznamenal: „Před měsícem se svět změnil. Teď dostáváme skutečné reporty... jsou dobré a jsou reálné."

Tohle je moment, na který se security odvětví připravovalo, a přišel rychleji, než většina čekala. Propast mezi „AI umí najít zranitelnosti" a „AI umí autonomně řetězit exploity přes více sandboxů" se zavřela v jedné generaci modelu.

Přístup Glasswing — omezit model, vybudovat koalici obránců, financovat open-source bezpečnost — dává smysl. Simon Willison to vystihl: omezené vydání je nepohodlné, ale oprávněné. Nerozdáváte univerzální klíč ke všem zámkům na internetu a nedoufáte, že to dopadne dobře.

Nepříjemná realita je, že tahle schopnost nezůstane exkluzivní. Sám Anthropic odhaduje, že podobné modely budou existovat napříč odvětvím do roka. Glasswing kupuje čas — dává obráncům náskok na záplatování nejhorších zranitelností, než se ofenzivní verze téhle technologie rozšíří.

Pokud udržujete open-source software, přihlaste se do programu Claude for Open Source. Pokud spravujete infrastrukturu, zkraťte své patch cykly hned teď. A jestli jste dosud brali CVE-tagged dependency updaty jako nízkou prioritu, přestaňte.

Ty 27 let staré bugy se už neschovají.