Skip to content
Book AI-strategimøde
Search icon
Book AI-strategimøde
AI Ordbog / Project Glasswing (AI-sårbarhedsopdagelse)

Project Glasswing (AI-sårbarhedsopdagelse)

Project Glasswing bruger frontier AI til at finde sikkerhedshuller i kritisk software. Forstå initiativet, dets betydning for virksomheder og cybersikkerhed.

Kontakt en AI Konsulent
Project Glasswing (AI-sårbarhedsopdagelse)
Frame 4
Frame 3
Frame 2
Frame 1
Frame 5
Project Glasswing (AI-sårbarhedsopdagelse)
AI ORDBOG

Hvordan virker Project Glasswing?

I centrum af Project Glasswing står Claude Mythos Preview, en generel frontier-model med exceptionelle evner inden for kodesikkerhed. Modellen analyserer kildekode og kompilerede binære filer systematisk og finder sårbarheder, som har overlevet årtiers menneskelig gennemgang, aggressiv fuzzing og open source-granskning. En af de fundne fejl havde eksisteret i 27 år i OpenBSD, et operativsystem der netop er kendt for sin sikkerhed.

Teknisk fungerer det ved, at modellen først rangerer filer i et softwareprojekt efter sandsynligheden for at indeholde interessante fejl på en skala fra 1 til 5. Filer med score 5 er typisk dem, der håndterer rå data fra internettet, parser brugerinput eller styrer autentificering. Modellen starter med de mest lovende filer og arbejder sig systematisk igennem kodebasen.

Det, der adskiller Mythos fra traditionelle sikkerhedsværktøjer, er evnen til at kæde flere sårbarheder sammen til komplekse angrebskæder. Modellen kan finde individuelle fejl, skrive udnyttelseskode og sammensætte dem til realistiske indtrængningsscenarier. Den kan endda rekonstruere plausibel kildekode fra lukkede, strippede binære filer og finde sårbarheder i resultatet.

Adgangen til Mythos Preview er stærkt begrænset. Kun de tolv grundlæggende partnere og cirka 40 yderligere organisationer med ansvar for kritisk softwareinfrastruktur får adgang. Det er et bevidst valg: modellens kapaciteter er for kraftfulde til at blive frigivet offentligt, da de kunne misbruges offensivt.

Kontakt en konsulent

Hvad betyder Project Glasswing for virksomheder?

For virksomheder, der bygger på eller afhænger af software, ændrer Project Glasswing spillereglerne for AI-cybersikkerhed. Når sårbarhedsopdagelse bliver kontinuerlig og automatiseret, kan sikkerhedsteams ikke længere operere i periodiske scannings- og remedieringscyklusser. De skal reagere i næsten realtid.

Den mest umiddelbare konsekvens er en eksplosion i antallet af kendte sårbarheder. Mythos Preview har allerede fundet tusindvis af kritiske fejl. Spørgsmålet er ikke længere, om sårbarhederne findes, men om organisationer kan absorbere og rette dem hurtigt nok. Det stiller nye krav til AI Risk Management og patchprocesser i hele softwareforsyningskæden.

For danske virksomheder, der opererer under EU AI Act og NIS2-direktivet, tilføjer Project Glasswing et ekstra lag af kompleksitet. Regulatorisk compliance kræver i stigende grad, at organisationer kan dokumentere deres sårbarhedshåndtering og responstider. AI-drevet sårbarhedsopdagelse gør det sværere at argumentere for, at man ikke kendte til en given risiko.

Forrester har påpeget, at Project Glasswing reelt vil bryde den eksisterende playbook for vulnerability management. Virksomheder, der ikke tilpasser deres processer, risikerer at drukne i en strøm af fundne sårbarheder uden kapacitet til at håndtere dem. Det er ikke et teknisk problem alene, men et organisatorisk og ressourcemæssigt spørgsmål.

Hvad Project Glasswing ikke er

Project Glasswing er ikke et produkt, virksomheder kan købe eller abonnere på. Det er et lukket koalitionsinitiativ med begrænset adgang, designet til at beskytte kritisk infrastruktur. Claude Mythos Preview er ikke offentligt tilgængelig, og Anthropic har bevidst valgt ikke at frigive modellen, fordi dens kapaciteter udgør en risiko, hvis de falder i de forkerte hænder.

Det er heller ikke en erstatning for eksisterende sikkerhedsværktøjer eller processer. Project Glasswing finder sårbarhederne, men organisationer skal stadig selv prioritere, patche og validere rettelser. Projektet løser opdagelsesproblemet, ikke remederingsproblemet. Som flere analytikere har bemærket, vil Project Glasswing blive målt på, hvor mange sårbarheder der rent faktisk bliver rettet, ikke hvor mange der bliver fundet.

Endelig er forsvarsfordelen midlertidig. Selvom Mythos Preview i dag kun er tilgængelig for godkendte partnere, er der ingen grund til at antage, at AI-drevet sårbarhedsopdagelse forbliver eksklusiv for forsvarere. Andre AI-modeller vil opnå lignende kapaciteter, og det er et spørgsmål om tid, før ondsindede aktører har adgang til tilsvarende værktøjer. Det gør det endnu vigtigere at udnytte det nuværende forspring.

Relaterede termer

AI Cybersecurity (AI-cybersikkerhed): Det overordnede felt for brug af kunstig intelligens til at beskytte systemer, netværk og data mod cybertrusler.

AI Vulnerability Discovery (AI-drevet sårbarhedsopdagelse): Den bredere kategori af AI-baserede metoder til at finde sikkerhedshuller i software, som Project Glasswing er det mest fremtrædende eksempel på.

Red Teaming for AI: Sikkerhedstest af AI-systemer gennem simulerede angreb, en disciplin der supplerer den type sårbarhedsopdagelse, Glasswing udfører.

AI Risk Management: Rammeværk og processer til at identificere, vurdere og mitigere risici forbundet med AI-systemer, herunder de cybersikkerhedsrisici Glasswing adresserer.

Guardrails: Sikkerhedsmekanismer der begrænser, hvad AI-systemer kan og må gøre. Relevant for, hvordan Mythos Preview holdes inden for forsvarsmæssige rammer.

Foundation Model (Fundamentmodel): De store basismodeller som Claude Mythos Preview er bygget på, og som er forudsætningen for denne type avanceret sårbarhedsanalyse.