Anthropic har netop annonceret Project Glasswing, et samarbejde med AWS, Apple, Google, Microsoft, Cisco, NVIDIA, JPMorganChase og flere om at sikre verdens vigtigste software. Baggrunden er en ny, endnu ikke offentligt tilgængelig frontier-model kaldet Claude Mythos Preview, der har fundet tusindvis af kritiske sårbarheder i styresystemer, browsere og anden kernel-software.
For første gang ser vi en AI, der kan finde og udnytte sikkerhedshuller på niveau med de allerbedste menneskelige specialister, og som kan gøre det i stor skala. Det skaber både en alvorlig risiko og en historisk mulighed for cyberforsvarere, hvis kapaciteten kommer i de rigtige hænder i tide.
Hvad er Project Glasswing?
Project Glasswing er et nyt industri-initiativ, som samler nogle af verdens største teknologi- og sikkerhedsvirksomheder i kampen mod AI-drevne cyberangreb. Udover Anthropic deltager blandt andre Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA og Palo Alto Networks. Derudover har over 40 organisationer, der driver kritisk softwareinfrastruktur, fået adgang til at scanne og sikre både egne systemer og open source-komponenter.
Kernen i samarbejdet er Claude Mythos Preview, en endnu ikke offentligt tilgængelig frontier-model fra Anthropic. Modellen er ikke planlagt til bred udrulning, men stilles til rådighed for projektets partnere gennem Claude API, Amazon Bedrock, Google Cloud Vertex AI og Microsoft Foundry. Anthropic har forpligtet sig til op til 100 millioner dollar i gratis brugskreditter og yderligere 4 millioner dollar i direkte donationer til open source-sikkerhedsorganisationer.
Navnet stammer fra glasvingesommerfuglen, hvis gennemsigtige vinger både gør den usynlig og hjælper den med at undgå fare. Metaforen peger på to ting, som projektet handler om. Sårbarheder, der kan gemme sig i årtier uden at blive opdaget, og den åbenhed Anthropic lægger op til, når der skal deles læring på tværs af branchen.
For danske virksomheder, der bygger på cloudtjenester fra netop disse hyperscalers, er det et vigtigt signal. De platforme, vi bruger hver dag, bliver lige nu gennemgået af en AI, som er bedre end næsten alle menneskelige sikkerhedseksperter til at finde huller i koden.
En AI, der finder huller efter 27 års menneskelig gennemgang
Claude Mythos Preview er ikke bare en lidt bedre version af tidligere modeller. Den markerer et spring i, hvor dygtig en AI kan være til at læse, forstå og angribe kompleks kode. Ifølge Anthropic har modellen på få uger fundet tusindvis af zero-day sårbarheder i alle større styresystemer og browsere, heraf mange kritiske.
Et af de mest opsigtsvækkende eksempler er en 27 år gammel sårbarhed i OpenBSD, som ellers er kendt for at være et af de mest sikkerhedshærdede styresystemer i verden og bruges i firewalls og anden kritisk infrastruktur. Sårbarheden gjorde det muligt for en angriber at crashe enhver maskine, der kører systemet, blot ved at etablere en forbindelse til den. Modellen fandt også en 16 år gammel fejl i FFmpeg, det mest udbredte bibliotek til video-encoding, på et sted i koden, hvor automatiserede testværktøjer havde kørt fem millioner tests uden at opdage problemet.
Endnu mere betænkeligt er det, at modellen autonomt fandt og kædede flere sårbarheder sammen i Linux-kernen, som driver størstedelen af verdens servere. Resultatet var en exploit-kæde, der kunne løfte en almindelig brugerkonto til fuld root-kontrol over maskinen. Det er klassisk privilege escalation, men i stedet for at en sikkerhedsekspert brugte uger eller måneder, blev arbejdet udført af en AI-agent uden menneskelig vejledning.
På benchmarket CyberGym, der måler evnen til at reproducere kendte sårbarheder, scorer Mythos Preview 83,1 procent mod Claude Opus 4.6 på 66,6 procent. På bredere kode- og reasoning-benchmarks som SWE-bench Verified, Terminal-Bench og GPQA Diamond ligger Mythos Preview også højere end nogen tidligere model. Den samme evne til agentbaseret kodning, der gør den nyttig til defensivt arbejde, er altså det, som gør den potentielt farlig, hvis kapaciteten bliver almindelig.
Hvorfor dette er vigtigt lige nu
Det globale trusselsbillede ændrer sig med en hastighed, vi ikke har set før. Crowdstrike formulerede det præcist i deres kommentar til projektet: vinduet mellem opdagelsen af en sårbarhed og aktiv udnyttelse, som tidligere var måneder, kan nu krympe til timer, hvis angribere får adgang til Mythos-lignende kapaciteter, før forsvarerne når at patche.
Det er ikke et teoretisk scenarie. Vi har allerede set omkostningerne ved store cyberangreb på hospitaler, energiselskaber og offentlige myndigheder. De globale tab fra cyberkriminalitet vurderes til flere hundrede milliarder dollar årligt, og den tendens vil kun accelerere, når AI bliver billigere og bedre. Statsstøttede aktører fra Rusland, Kina, Iran og Nordkorea vil være blandt de første til at investere i den slags teknologi, hvis den ikke allerede er en del af deres arsenal.
Samtidig viser Mythos Preview, at den samme kapacitet kan vendes om og bruges til forsvar. I stedet for at lade menneskelige sikkerhedsteams bruge måneder på at gennemgå én kodebase, kan en AI-agent nu pløje gennem hundredtusindvis af linjer kode og foreslå både fund og rettelser. Det er en ny slags asymmetri, hvor forsvarere potentielt kan komme på forkant, hvis de handler hurtigt og organiseret.
Tre konkrete skridt til danske virksomheder
Claude Mythos Preview er ikke tilgængelig for dig som kunde, men konsekvenserne af modellens eksistens er det. Over de næste måneder kommer lignende kapaciteter til at sprede sig, og det er sikkert, at angribere også vil få adgang. I stedet for at tænke på "modernisering" som et vagt langsigtet projekt, bør du fokusere på tre helt konkrete skridt, du kan tage allerede nu.
Det første skridt er at måle din reelle patch-hastighed. Hvis du ikke kan udrulle kritiske sikkerhedsopdateringer inden for 24 timer på tværs af alle dine systemer, har du et problem, der kun bliver større med tiden. Start med at kortlægge, hvor lang tid det tog at udrulle den seneste kritiske CVE, og brug det tal som din nulpunktsmåling. Alt over 72 timer er en risiko, du bør adressere før noget andet.
Det andet skridt er at integrere AI i dit eget forsvar, uanset om du har et stort sikkerhedsteam eller kun en enkelt IT-ansvarlig. Selv uden adgang til Mythos findes der allerede brugbare AI-værktøjer til kodegennemgang, log-analyse, phishing-detektion og red teaming. Har du et team, der hver måned bruger timer på at gennemgå ændringer i jeres kodebaser, bør du undersøge, om en AI kan hjælpe med at finde de lavthængende frugter, så dine specialister kan bruge tiden der, hvor det kræver menneskelig dømmekraft.
Det tredje skridt er at opdatere din AI Governance og dine sikkerhedsprocesser. Anthropic har lovet offentligt at rapportere inden for 90 dage om fund, rettelser og anbefalinger til vulnerability disclosure, forsyningskæde-sikkerhed, secure-by-design-praksis og patch-automatisering. Det er anbefalinger, du bør bruge aktivt, når du justerer din egen praksis. Og husk, at ansvarlig AI ikke længere kun er et compliance-spørgsmål, men en forudsætning for at undgå at blive den næste overskrift.