Czy AI Mythos stanowi zagrożenie dla cyberbezpieczeństwa? Nowe możliwości modelu Claude ujawniają kruchość systemów

W dniu 7 kwietnia 2026 roku społeczność zajmująca się cyberbezpieczeństwem została postawiona w stan gotowości. Firma Anthropic ogłosiła, że jej najnowszy i najbardziej zaawansowany model ogólnego przeznaczenia, Claude Mythos Preview, wykazał się zdolnościami, których nikt się nie spodziewał. Sztuczna inteligencja nie tylko zidentyfikowała luki w zabezpieczeniach oprogramowania – co samo w sobie jest poważnym problemem – ale także potrafiła je wykorzystać w sposób autonomiczny.

Odkrycie to wywołało falę zaniepokojenia wśród rządów, ekspertów IT oraz opinii publicznej. Niektórzy zaczęli postrzegać Mythosa jako globalne zagrożenie dla cyberbezpieczeństwa. Anthropic, uznając ryzyko za zbyt wysokie, zdecydowało się nie udostępniać modelu szerokiej publiczności. Zamiast tego uruchomiono program „Project Glasswing”, w ramach którego wyłączny dostęp do Mythosa otrzymali najwięksi gracze na rynku technologicznym.

Jak Mythos działa w praktyce?

Podczas kontrolowanej oceny inżynierowie z minimalnym doświadczeniem w dziedzinie bezpieczeństwa otrzymali zadanie przeskanowania tysięcy baz kodu pod kątem luk. Rezultaty okazały się zaskakujące. Mythos nie tylko odnalazł 271 luk w przeglądarce Mozilla Firefox, ale także opracował 181 sposobów ich wykorzystania.

Zespół red team Anthropic oraz Brytyjski Instytut Bezpieczeństwa AI (AI Security Institute) potwierdzili, że Mythos zidentyfikował tysiące luk zero-day w kluczowych systemach operacyjnych, przeglądarkach internetowych i innych aplikacjach. Są to błędy, które nie zostały jeszcze naprawione i mogą być natychmiast wykorzystane przez atakujących. Według doniesień, przedstawiciele Agencji Bezpieczeństwa Narodowego USA (NSA) byli pod wrażeniem szybkości i efektywności Mythosa w wykrywaniu podatności.

Najbardziej uderzające odkrycia

• Luka w OpenBSD – 27-letni błąd, który pozostawał niewykryty przez dekady. Pozwalał on nieautoryzowanym użytkownikom na przejęcie kontroli nad systemem.
• Błąd w FFmpeg – 16-letnia podatność w narzędziu do obróbki wideo i audio, która również umożliwiała zdalne przejęcie maszyny.
• Ataki w tempie ekspresowym – nawet niedoświadczeni inżynierowie byli w stanie przeprowadzić pełne ataki (od wykrycia luki do jej wykorzystania) w ciągu jednej nocy. Dla porównania, eksperci zajmują się tym tygodniami lub nawet miesiącami.

Szczególnie zaskakujący okazał się wynik testu przeprowadzonego przez AI Security Institute. Mythosowi udało się przejąć symulowaną sieć korporacyjną w trzech na dziesięć prób – co jest pierwszym przypadkiem, gdy AI osiągnęła taki sukces. Te wyniki są realne, ale – jak podkreślają eksperci – nie oddają pełnego obrazu sytuacji.

Czy Mythos to prawdziwy przełom?

Na pierwszy rzut oka możliwości Mythosa wydają się rewolucyjne. Model potrafi autonomicznie przeprowadzać wieloetapowe ataki, co dotychczas było domeną tylko najbardziej doświadczonych hakerów. Jednakże, zdaniem ekspertów, Mythos nie stanowi radykalnie nowego zagrożenia, a raczej odbija kruchość współczesnych systemów.

„Mythos nie jest nowym zagrożeniem – jest lustrem, które pokazuje, jak ludzie postępują i jak kruche są współczesne systemy. To, co robi Mythos, to jedynie ujawnienie słabości, które już istnieją.”

– Komentarz cyberbezpieczeństwa

Dlaczego Anthropic podjęło taką decyzję?

Firma uzasadniła swoje działanie odpowiedzialnością moralną. Uznano, że ryzyko związane z udostępnieniem Mythosa publicznie jest zbyt wysokie, zwłaszcza w kontekście rosnącej liczby ataków cybernetycznych na całym świecie. Zamiast tego, Anthropic postanowiło współpracować z kluczowymi graczami branży, aby lepiej zrozumieć możliwości modelu i opracować strategie przeciwdziałania potencjalnym zagrożeniom.

Eksperci podkreślają, że choć Mythos demonstruje imponujące zdolności, nie jest on niepokonany. Wiele z wykrytych luk było już znanych, choć niedostatecznie naprawionych. Ponadto, skuteczność modelu zależy w dużej mierze od kontekstu, w jakim jest używany.

Co dalej z Mythosem?

Na razie model pozostaje niedostępny dla szerszej publiczności. Program „Project Glasswing” ma na celu zminimalizowanie ryzyka, jednocześnie umożliwiając dalsze badania nad jego możliwościami. Anthropic zapowiada, że w przyszłości może udostępnić Mythosa w bardziej kontrolowany sposób, pod warunkiem opracowania odpowiednich mechanizmów bezpieczeństwa.

Tymczasem dyskusja na temat roli AI w cyberbezpieczeństwie nabiera tempa. Czy modele takie jak Mythos powinny być traktowane jako narzędzie do walki z cyberprzestępczością, czy raczej jako nowe zagrożenie? Jedno jest pewne – cyberbezpieczeństwo stoi przed kolejną poważną próbą.