Project Glasswing (AI-sårbarhedsopdagelse)
Project Glasswing er et stort, industribredt cybersikkerhedsinitiativ lanceret af Anthropic i april 2026. Kernen er Claude Mythos Preview, en frontier AI-model der kan finde og udnytte softwaresårbarheder på et niveau, der overgår næsten alle menneskelige sikkerhedsforskere. Modellen har allerede identificeret tusindvis af hidtil ukendte zero-day-sårbarheder i alle større operativsystemer og webbrowsere.
Projektet samler tolv af verdens førende teknologi- og sikkerhedsvirksomheder, herunder Amazon Web Services, Apple, Google, Microsoft og Palo Alto Networks, i en koalition med ét formål: at bruge AI defensivt, før ondsindede aktører kan udnytte tilsvarende kapaciteter offensivt. Anthropic har afsat op til 100 millioner USD i brugskreditter og 4 millioner USD i donationer til open source-sikkerhed.
For virksomhedsledere markerer Project Glasswing et vendepunkt. Det viser, at AI nu kan automatisere den type sårbarhedsopdagelse, der tidligere krævede elitehold af sikkerhedseksperter, og det rejser presserende spørgsmål om, hvor hurtigt organisationer kan lukke de huller, AI finder.
Hvordan virker Project Glasswing?
I centrum af Project Glasswing står Claude Mythos Preview, en generel frontier-model med exceptionelle evner inden for kodesikkerhed. Modellen analyserer kildekode og kompilerede binære filer systematisk og finder sårbarheder, som har overlevet årtiers menneskelig gennemgang, aggressiv fuzzing og open source-granskning. En af de fundne fejl havde eksisteret i 27 år i OpenBSD, et operativsystem der netop er kendt for sin sikkerhed.
Teknisk fungerer det ved, at modellen først rangerer filer i et softwareprojekt efter sandsynligheden for at indeholde interessante fejl på en skala fra 1 til 5. Filer med score 5 er typisk dem, der håndterer rå data fra internettet, parser brugerinput eller styrer autentificering. Modellen starter med de mest lovende filer og arbejder sig systematisk igennem kodebasen.
Det, der adskiller Mythos fra traditionelle sikkerhedsværktøjer, er evnen til at kæde flere sårbarheder sammen til komplekse angrebskæder. Modellen kan finde individuelle fejl, skrive udnyttelseskode og sammensætte dem til realistiske indtrængningsscenarier. Den kan endda rekonstruere plausibel kildekode fra lukkede, strippede binære filer og finde sårbarheder i resultatet.
Adgangen til Mythos Preview er stærkt begrænset. Kun de tolv grundlæggende partnere og cirka 40 yderligere organisationer med ansvar for kritisk softwareinfrastruktur får adgang. Det er et bevidst valg: modellens kapaciteter er for kraftfulde til at blive frigivet offentligt, da de kunne misbruges offensivt.
Consile rådgiver om AI-strategi og cybersikkerhed. Kontakt os for at drøfte, hvordan AI-drevet sårbarhedsopdagelse påvirker jeres sikkerhedssetup, og hvad I bør gøre for at være forberedt.
Hvad betyder Project Glasswing for virksomheder?
For virksomheder, der bygger på eller afhænger af software, ændrer Project Glasswing spillereglerne for AI-cybersikkerhed. Når sårbarhedsopdagelse bliver kontinuerlig og automatiseret, kan sikkerhedsteams ikke længere operere i periodiske scannings- og remedieringscyklusser. De skal reagere i næsten realtid.
Den mest umiddelbare konsekvens er en eksplosion i antallet af kendte sårbarheder. Mythos Preview har allerede fundet tusindvis af kritiske fejl. Spørgsmålet er ikke længere, om sårbarhederne findes, men om organisationer kan absorbere og rette dem hurtigt nok. Det stiller nye krav til AI Risk Management og patchprocesser i hele softwareforsyningskæden.
For danske virksomheder, der opererer under EU AI Act og NIS2-direktivet, tilføjer Project Glasswing et ekstra lag af kompleksitet. Regulatorisk compliance kræver i stigende grad, at organisationer kan dokumentere deres sårbarhedshåndtering og responstider. AI-drevet sårbarhedsopdagelse gør det sværere at argumentere for, at man ikke kendte til en given risiko.
Forrester har påpeget, at Project Glasswing reelt vil bryde den eksisterende playbook for vulnerability management. Virksomheder, der ikke tilpasser deres processer, risikerer at drukne i en strøm af fundne sårbarheder uden kapacitet til at håndtere dem. Det er ikke et teknisk problem alene, men et organisatorisk og ressourcemæssigt spørgsmål.
Hvad Project Glasswing ikke er
Project Glasswing er ikke et produkt, virksomheder kan købe eller abonnere på. Det er et lukket koalitionsinitiativ med begrænset adgang, designet til at beskytte kritisk infrastruktur. Claude Mythos Preview er ikke offentligt tilgængelig, og Anthropic har bevidst valgt ikke at frigive modellen, fordi dens kapaciteter udgør en risiko, hvis de falder i de forkerte hænder.
Det er heller ikke en erstatning for eksisterende sikkerhedsværktøjer eller processer. Project Glasswing finder sårbarhederne, men organisationer skal stadig selv prioritere, patche og validere rettelser. Projektet løser opdagelsesproblemet, ikke remederingsproblemet. Som flere analytikere har bemærket, vil Project Glasswing blive målt på, hvor mange sårbarheder der rent faktisk bliver rettet, ikke hvor mange der bliver fundet.
Endelig er forsvarsfordelen midlertidig. Selvom Mythos Preview i dag kun er tilgængelig for godkendte partnere, er der ingen grund til at antage, at AI-drevet sårbarhedsopdagelse forbliver eksklusiv for forsvarere. Andre AI-modeller vil opnå lignende kapaciteter, og det er et spørgsmål om tid, før ondsindede aktører har adgang til tilsvarende værktøjer. Det gør det endnu vigtigere at udnytte det nuværende forspring.
Relaterede termer
AI Cybersecurity dækker både AI til forsvar mod trusler og sikring af AI-systemer. Forstå de to sider af AI-cybersikkerhed og hvad det kræver i praksis.
AI Vulnerability Discovery bruger kunstig intelligens til at finde sikkerhedsfejl i software og systemer hurtigere end mennesker. Forstå teknologien og dens forretningsværdi.
Red teaming for AI er struktureret, modstandsdygtig test af AI-systemer. Lær hvordan virksomheder finder sårbarheder, før de bliver udnyttet.
AI Risk Management handler om at identificere, vurdere og håndtere risici ved AI-systemer. Lær frameworks, best practices og krav fra EU AI Act.
Guardrails er de tekniske og proceduremæssige kontroller, der holder AI-systemer inden for acceptable grænser. Lær hvordan guardrails beskytter din virksomhed.
En frontier model er den mest avancerede type AI-model på markedet. Forstå hvad der kendetegner dem, og hvorfor de er centrale for virksomheders AI-strategi.
Ofte stillede spørgsmål om Project Glasswing
Kan min virksomhed få adgang til Project Glasswing?+
Adgangen er i dag begrænset til de tolv grundlæggende partnere og cirka 40 organisationer med ansvar for kritisk softwareinfrastruktur. For de fleste virksomheder er den vigtigste handling at forberede sig på konsekvenserne: hurtigere sårbarhedsopdagelse kræver hurtigere patchprocesser og bedre vulnerability management.
Hvad er forskellen på Project Glasswing og traditionel penetrationstest?+
Traditionel penetrationstest udføres typisk periodisk af menneskelige eksperter, der undersøger afgrænsede systemer. Project Glasswing bruger en frontier AI-model til kontinuerlig, automatiseret analyse af hele kodebaser med en dybde og hastighed, der langt overstiger menneskelig kapacitet. Consile hjælper virksomheder med at forstå, hvordan AI-drevet sikkerhed påvirker deres eksisterende sikkerhedsstrategi.
Er Project Glasswing kun relevant for softwarevirksomheder?+
Nej. Alle virksomheder, der bruger software, er potentielt berørt. Når AI finder tusindvis af nye sårbarheder i operativsystemer, browsere og open source-biblioteker, påvirker det hele forsyningskæden. Det er særligt vigtigt for virksomheder under NIS2-direktivet og EU AI Act, der skal dokumentere deres sikkerhedshåndtering.