Náhled na Claude Mythos: Nevydaná umělá inteligence společnosti Anthropic odhalila chyby v Linuxu a OpenBSD, které lidem unikaly po celá desetiletí

Hlavní poznatky:

• Nástroj Claude Mythos Preview společnosti Anthropic dosáhl v testu Cybergym skóre 83,1 % a odhalil tisíce zero-day zranitelností ve všech hlavních operačních systémech a prohlížečích.
• Projekt Glasswing byl spuštěn 7. dubna 2026 s 11 zakládajícími partnery a až 100 miliony dolarů v kreditech na využití Mythosu pro obránce.
• 27 let stará chyba v OpenBSD a 16 let stará chyba v FFmpeg přežily miliony automatizovaných testů, dokud je Mythos během několika hodin neodhalil.

Claude Mythos AI získal na Cybergymu skóre 83 % a odhalil kritické chyby ve všech hlavních prohlížečích a operačních systémech

Model, který společnost Anthropic popisuje jako největší nárůst schopností jediného modelu v historii průkopnické AI, dokončil trénink a byl veřejně oznámen 7. dubna 2026 poté, co se koncem března objevily interní podrobnosti prostřednictvím nesprávně nakonfigurovaného systému pro správu obsahu, který odhalil přibližně 3 000 interních souborů.

Společnost Anthropic nezveřejňuje náhled na model Claude Mythos ani prostřednictvím svého obecného API. Společnost omezila přístup na prověřenou skupinu partnerů poté, co model prokázal, že dokáže odhalit a zneužít dosud neznámé softwarové chyby rychlostí a v rozsahu, který předčí jak lidské odborníky, tak předchozí systémy umělé inteligence.

V benchmarkových testech kyberbezpečnosti je rozdíl mezi Mythosem a Claude Opus 4.6 těžko přehlédnutelný. Mythos dosáhl skóre 83,1 % v Cybergym oproti 66,6 % u Opus 4.6 a 93,9 % oproti 80,8 % v SWE-bench Verified. V testu SWE-bench Pro dosáhl 77,8 % oproti 53,4 % – rozdíl 24 bodů. V testu Humanity's Last Exam bez nástrojů dosáhl 56,8 %, zatímco jeho předchůdce 40,0 %.

Model k nalezení těchto chyb nepotřebuje specifický trénink v oblasti kyberbezpečnosti. Jeho úspěchy vycházejí z širších pokroků v oblasti uvažování, vícestupňového plánování a autonomního agentního chování. V izolovaném kontejneru si přečte zdrojový kód, vytvoří hypotézy o chybách v bezpečnosti paměti, zkompiluje a spustí software, použije ladicí nástroje jako Address Sanitizer, seřadí soubory podle pravděpodobnosti zranitelnosti a vygeneruje ověřené zprávy o chybách s funkčními exploity pro ověření koncepce.

Některé z těchto exploitů nevyžadovaly téměř žádné lidské zásahy. Tomshardware.com uvádí, že 27 let stará zranitelnost OpenBSD TCP SACK, jemný přetečení celých čísel, která umožňuje útočníkovi vzdáleně způsobit pád jakéhokoli reagujícího hostitele vytvořením škodlivých paketů, byla nalezena autonomně po zhruba 1 000 bězích s celkovými náklady pod 20 000 dolarů. 16 let stará chyba FFmpeg H.264 přežila více než pět milionů automatizovaných testů a několik auditů, než ji Mythos odhalil.

Zvláštní pozornost vzbudily výsledky týkající se prohlížečů. Při testování JavaScriptového jádra ve Firefoxu 147 vytvořil Mythos 181 exploitů s plným shellovým přístupem a 29 případů ovládání registrů. Claude Opus 4.6 vytvořil dva exploity s přístupem k shellu ve stejné testovací sadě. Model také vytvořil funkční řetězce eskalace oprávnění jádra Linuxu, z uživatele na root na serverech, poté, co filtroval 100 nedávných CVE na 40 zneužitelných kandidátů a úspěšně zneužil více než polovinu.

Lidští validátoři zkontrolovali 198 zpráv o zranitelnosti modelu a v 89 % případů souhlasili s jeho hodnocením závažnosti, přičemž v 98 % případů se shodli v rámci jedné úrovně závažnosti.

Projekt Glasswing

Méně než 1 % identifikovaných chyb bylo dosud plně opraveno. Společnost Anthropic koordinuje odpovědné zveřejňování, vydává kryptografické závazky SHA-3 pro neopravené problémy a dodržuje lhůtu 90 plus 45 dní před zveřejněním úplných podrobností. Mezi již zveřejněnými příklady patří chyba vzdáleného spuštění kódu na serveru FreeBSD NFS CVE-2026-4747, která je stará 17 let a umožňuje plný neověřený přístup s právy root.

Projekt Glasswing, oznámený společně s modelem, je pokusem společnosti Anthropic nasměrovat tyto schopnosti k obraně dříve, než se podobné nástroje stanou široce dostupnými. Mezi zakládajícími partnery jsou Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia a Palo Alto Networks. Přístup se rozšiřuje na více než 40 dalších organizací zabývajících se kritickým softwarem.

Společnost Anthropic se zavázala věnovat 4 miliony dolarů na bezpečnost open-source: 2,5 milionu dolarů organizaci Alpha-Omega prostřednictvím OpenSSF a Linux Foundation a 1,5 milionu dolarů Apache Software Foundation.

Společnost uznala, že nástroje umělé inteligence, jako je Mythos, snižují bariéru pro nalezení a zneužití zranitelností, a upozornila na krátkodobé riziko ze strany státních aktérů, Číny, Íránu, Severní Koreje a Ruska, jakož i zločineckých skupin, pokud by se podobné schopnosti šířily bez kontroly. Popsala období přechodných turbulencí, než obránci tuto technologii plně integrují.

Společnost Anthropic uvedla, že nadcházející verze Claude Opus budou obsahovat bezpečnostní opatření k detekci a blokování nebezpečných výstupů v oblasti kybernetické bezpečnosti, a plánuje zavést program Cyber Verification Program pro prověřené bezpečnostní odborníky. Veřejná zpráva o zjištěních partnerů a opravených zranitelnostech se očekává do 90 dnů.