Anthropic maakte vrijdag bekend dat Project Glasswing heeft geholpen bij het ontdekken van meer dan 10.000 kwetsbaarheden met een hoge of kritieke ernst in enkele van de meest “systemisch” belangrijke software ter wereld sinds het cybersecurity-initiatief vorige maand live ging.
Project Glasswing is een initiatief onder leiding van het bedrijf voor kunstmatige intelligentie (AI), als onderdeel waarvan een kleine groep van ongeveer vijftig partners toegang heeft gekregen tot Claude Mythos Preview, een grensmodel met mogelijkheden om kwetsbaarheden in veelgebruikte software te vinden.
Van deze kwetsbaarheden zijn er 6.202 geclassificeerd als fouten met een hoge of kritieke ernst die gevolgen hebben voor meer dan 1.000 open-sourceprojecten. Uit een daaropvolgende analyse van deze kwetsbaarheidskandidaten is gebleken dat 1.726 geldige, terechte positieven zijn. Maar liefst 1.094 tekortkomingen worden beoordeeld als zeer ernstig of als kritiek.
Een van de geïdentificeerde zwakke punten is een kritieke fout in WolfSSL (CVE-2026-5194, CVSS-score: 9,1) waardoor een aanvaller certificaten kan vervalsen en zich kan voordoen als een legitieme service. In totaal hebben deze inspanningen ertoe geleid dat 97 bevindingen stroomopwaarts zijn gepatcht en dat er 88 adviezen zijn uitgebracht.
“Het relatieve gemak om kwetsbaarheden te vinden, vergeleken met de moeilijkheid om ze op te lossen, vormt een grote uitdaging voor cybersecurity”, erkende Anthropic. “Het succesvol aangaan van deze uitdaging zal onze software veel veiliger maken dan voorheen.”
De ontwikkeling komt op het moment dat softwareleveranciers meer oplossingen leveren dan ooit tevoren, gedreven door een golf van AI-ondersteunde detectie van kwetsbaarheden, waarbij Microsoft opmerkt dat het aantal nieuwe patches dat het maandelijks verwacht uit te brengen “nog enige tijd groter zal blijven”.
Autonoom offensief beveiligingsplatform XBOW heeft Mythos Preview omschreven als “een grote vooruitgang” die “substantieel beter is dan eerdere modellen in het vinden van kwetsbaarheidskandidaten” en “bedreven in het analyseren van de broncode met een beveiligingsmentaliteit.” Uit recente analyses is ook gebleken dat het model uitblinkt in het omzetten van kwetsbaarheden in end-to-end aanvalsketens.
Het hulpprogramma van Mythos Preview, zo voegde Anthropic toe, gaat verder dan het vinden van beveiligingsfouten. In één geval zou een partnerbank van Glasswing het AI-model hebben ingezet om een frauduleuze overboeking van $1,5 miljoen op te sporen en te voorkomen nadat een onbekende bedreigingsacteur het e-mailaccount van een klant had gehackt en valse telefoongesprekken had gevoerd.
Gezien het feit dat modellen met vergelijkbare mogelijkheden als Mythos in de nabije toekomst breed beschikbaar zouden kunnen worden, dringt Anthropic er bij softwareontwikkelaars op aan om hun patchcycli te verkorten en beveiligingsoplossingen zo snel mogelijk beschikbaar te maken. Het is de moeite waard hier te vermelden dat Oracle onlangs is overgestapt op een maandelijkse patchcyclus om kritieke beveiligingsproblemen aan te pakken.
“Netwerkverdedigers moeten hun tijdlijnen voor het testen en implementeren van patches verkorten”, aldus Anthropic. “Deze omvatten stappen zoals het verscherpen van de standaardconfiguraties van netwerken, het afdwingen van meervoudige authenticatie en het bijhouden van uitgebreide logboeken voor detectie en respons.”
Het AI-bedrijf zei ook dat het een Cyber Verification Program heeft gelanceerd waarmee beveiligingsprofessionals zijn modellen zonder vangrails kunnen gebruiken voor legitieme doeleinden zoals onderzoek naar kwetsbaarheden, penetratietests en red teaming. Dit is vergelijkbaar met Daybreak van OpenAI, waarmee verdedigers GPT-5.5-Cyber ook kunnen gebruiken voor gespecialiseerde workflows.
Modellen als Mythos Preview en GPT-5.5-Cyber moeten nog aan het publiek worden vrijgegeven vanwege de bezorgdheid dat er momenteel geen adequate waarborgen bestaan om misbruik ervan op grote schaal te voorkomen.
“Glasswing helpt de meest systemisch belangrijke cyberverdedigers een asymmetrisch voordeel te behalen”, aldus het rapport. “Er is echter een dringende behoefte aan zoveel mogelijk organisaties om hun cyberverdediging te versterken. We hopen dat onze algemeen beschikbare modellen, en de nieuwe tools, middelen en onderzoek die we ter begeleiding daarvan leveren, deze organisaties zullen ondersteunen om hun cybersecuritypositie te verbeteren.”
