Anthropic ogłosił 7 kwietnia 2026 r. Project Glasswing – inicjatywę cyberbezpieczeństwa, w której nowy, niewydany publicznie model Claude Mythos ma znajdować luki w software, na którym opiera się dziś cały internet. W konsorcjum są Apple, Amazon Web Services, Microsoft, Google, Nvidia, Cisco, Broadcom, CrowdStrike, Palo Alto Networks, JPMorganChase i Linux Foundation, plus 40 innych organizacji odpowiedzialnych za krytyczne fragmenty infrastruktury cyfrowej. Mythos znalazł już tysiące zero-day vulnerabilities w każdym większym systemie operacyjnym i przeglądarce. Anthropic nie planuje wydania tego modelu publicznie, ponieważ uważa go za zbyt niebezpieczny. Ten artykuł pokazuje, co dokładnie zmienia Project Glasswing dla bezpieczeństwa software’u, którego używasz Ty i Twoja firma.
Co to jest Project Glasswing i dlaczego Anthropic go uruchomił?
Project Glasswing to konsorcjum bezpieczeństwa, w którym Anthropic udostępnia model Claude Mythos Preview wybranym partnerom z branży technologicznej, aby znajdowali oni luki w krytycznym software, zanim zrobią to atakujący. Inicjatywa ruszyła oficjalnie 7 kwietnia 2026 r.
Założenie projektu opiera się na prostym, ale niewygodnym fakcie. Modele AI, które potrafią znajdować luki bezpieczeństwa, można wykorzystać w obie strony. Atakujący użyją ich, żeby włamywać się do systemów. Obrońcy mogą użyć ich, żeby te same luki załatać, zanim ktoś je wykorzysta. Anthropic stwierdził, że jeśli ten moment już nadszedł, to obrona musi mieć dostęp do narzędzi szybciej niż atak.
Mythos Preview jest tak potężny w zadaniach związanych z bezpieczeństwem, że Anthropic zdecydował się nie wydawać go publicznie. Zamiast tego daje go wybranym partnerom pod ścisłą kontrolą.
To niespotykane podejście jak na firmę, która komercyjnie sprzedaje dostęp do swoich modeli. Pierwsi partnerzy, którzy mają dostęp do Mythosa, to dosłownie najwięksi gracze rynku: AWS, Apple, Microsoft, Google, Nvidia, CrowdStrike, Linux Foundation. Jeśli używasz dziś jakiegokolwiek smartfona, laptopa, chmury lub serwera Linux, prawdopodobnie korzystasz z software’u, którego twórca jest częścią tego konsorcjum.
Jakie luki Mythos już znalazł i dlaczego to jest spektakularne?
Claude Mythos Preview w fazie wstępnej znalazł tysiące wcześniej nieznanych luk bezpieczeństwa w każdym większym systemie operacyjnym, przeglądarce i krytycznym software’rze. Niektóre z tych luk istniały w kodzie produkcyjnym przez dekady, mimo że były regularnie skanowane standardowymi narzędziami testowymi.
Najbardziej spektakularne znaleziska, które Anthropic ujawnił publicznie:
FreeBSD – 17-letnia luka RCE. Mythos w pełni autonomicznie zidentyfikował i wykorzystał lukę CVE-2026-4747 w FreeBSD, umożliwiającą zdalne wykonanie kodu z uprawnieniami roota. Człowiek nie był zaangażowany ani w odkrycie, ani w stworzenie exploita. Luka była w kodzie od 17 lat.
OpenBSD – 27-letni bug. System uznawany powszechnie za jeden z najbezpieczniejszych na świecie. Mythos znalazł w nim błąd, który przeleżał w kodzie produkcyjnym 27 lat. Żaden audyt, żaden ręczny przegląd kodu, żadne narzędzie statyczne nie zauważyło go wcześniej.
FFmpeg – 16-letnia luka, 5 milionów testów. FFmpeg to biblioteka, której używa praktycznie każde oprogramowanie wideo na świecie – od YouTube przez VLC po automatyczne pipeline’y w n8n czy systemy CCTV. Bug był w kodzie 16 lat. Standardowe narzędzia testowe (fuzzery) uruchamiały tę linijkę kodu pięć milionów razy i nie wykryły problemu. Mythos znalazł go bez problemu.
Sygnał, który płynie z tych liczb, jest jednoznaczny: software, któremu ufamy od dwóch dekad, ma w sobie luki, których ludzkie zespoły nie były w stanie wykryć. Model AI znajduje je w ciągu dni.
To nie jest abstrakcyjna teza. To są realne CVE, które Anthropic publikuje wraz z partnerami. Jeśli interesuje Cię szerszy kontekst tego, jak Anthropic podchodzi do bezpieczeństwa swoich modeli, przeczytaj analizę nowego modelu Claude Mythos.
Kurs n8n 2.0 · Kodożercy
n8n + AI = automatyzacje, które naprawdę myślą
n8n pozwala podłączyć modele AI do swoich workflow – wysyłać dane do ChatGPT, analizować wyniki, reagować automatycznie. Kurs n8n 2.0 na Kodożercach pokaże Ci jak to połączyć.
Sprawdź jak to działa →
Co Project Glasswing zmienia dla polskich firm i deweloperów?
Polska gospodarka, podobnie jak reszta świata, opiera się na open-source software. Każda firma używająca Linuksa na serwerze, FreeBSD w infrastrukturze sieciowej lub FFmpeg w aplikacji wideo jest pośrednio zależna od tego, czy Mythos znajdzie luki w tych projektach przed atakującymi.
Konkretne implikacje dla rodzimego rynku są trzy.
Pierwsza dotyczy infrastruktury krytycznej. Banki, telekomy, energetyka i sektor publiczny w Polsce korzystają z dokładnie tych systemów, w których Mythos znajduje wieloletnie luki. Łatki, które powstaną w ramach Project Glasswing, trafią do Linuksa, FreeBSD i innych projektów open-source, a stamtąd do polskich serwerowni. Oznacza to lawinę aktualizacji bezpieczeństwa w nadchodzących miesiącach. Zespoły DevOps powinny przygotować się na nietypowo duży wolumen patch managementu.
Druga implikacja dotyczy startupów i firm SaaS. Jeśli budujesz produkt oparty o open-source biblioteki, prawdopodobnie część z nich jest na liście, którą Mythos już zeskanował. Łatki będą publiczne, ale exploity również staną się publiczne, bo CVE są jawne. Każda godzina opóźnienia w aktualizacji Twojej zależności to okno dla atakującego.
Trzecia implikacja dotyczy automatyzacji i agentów AI. Jeśli używasz n8n, Claude Code lub innego frameworka do agentów, część Twojego workflow opiera się o te same fundamenty. Sytuacja przypomina niedawną krytyczną lukę, którą opisaliśmy w artykule o krytycznej luce RCE w n8n – tylko teraz takich incydentów będzie więcej, bo Mythos znajduje je szybciej niż człowiek.
Dlaczego Anthropic nie wydaje Mythosa publicznie?
Anthropic oficjalnie stwierdził, że Claude Mythos Preview nie zostanie udostępniony szerokiej publiczności ze względu na swoje możliwości w obszarze cyberbezpieczeństwa. Innymi słowy, ten sam model, który pomaga partnerom Project Glasswing łatać luki, w niewłaściwych rękach byłby narzędziem do masowego wykorzystywania ich.
To pierwszy znany przypadek, w którym duża firma AI deklaruje, że dobrowolnie blokuje dostęp do swojego najpotężniejszego modelu z powodów bezpieczeństwa. W kontekście Anthropic to spójne z ich narracją “AI safety first”, którą prowadzą od początku istnienia firmy.
Pojawia się jednak paradoks, który zauważyło już kilku komentatorów branżowych. Skoro Mythos znajduje luki, których nie znajdują ludzie, to czy konkurencyjne modele – publiczne lub te budowane przez podmioty państwowe – również są w stanie je znaleźć? Jeśli odpowiedź brzmi “tak”, to embargo Anthropica jest tylko opóźnieniem, a nie rozwiązaniem. Bardziej prawdopodobny scenariusz to wyścig zbrojeń: ktoś inny zbuduje Mythosa-klona i nie zatrzyma się przed wydaniem go publicznie.
Anthropic wydaje się rozumieć ten paradoks. Project Glasswing to próba zyskania przewagi czasowej dla strony obronnej. Jeśli krytyczny software zostanie załatany przez konsorcjum, zanim ktokolwiek inny zbuduje porównywalny model ofensywny, świat zyska kilka miesięcy lub lat oddechu.
FAQ – Najczęstsze pytania o Project Glasswing
Czy mogę uzyskać dostęp do Claude Mythos Preview?
Nie, jeśli nie należysz do jednej z 40+ organizacji partnerskich Project Glasswing. Anthropic celowo nie udostępnia tego modelu szerokiej publiczności i nie ma listy oczekujących. Jeśli zarządzasz krytycznym oprogramowaniem open-source o szerokim zasięgu, możesz teoretycznie aplikować bezpośrednio do Anthropica, ale firma nie publikuje formalnej procedury aplikacyjnej.
Czy łatki znalezione przez Mythosa będą publiczne?
Tak, zgodnie z deklaracją Anthropica. Luki będą zgłaszane do upstreamowych projektów (Linux, FreeBSD, FFmpeg, OpenBSD itd.) jako CVE i łatane standardową ścieżką disclosure. To oznacza, że Twoja firma skorzysta z efektów Project Glasswing automatycznie poprzez aktualizacje systemu i bibliotek.
Co powinien zrobić zespół DevOps w mojej firmie?
Trzy rzeczy. Po pierwsze, przygotujcie się na zwiększony wolumen aktualizacji bezpieczeństwa w nadchodzących miesiącach – skróćcie cykle patchowania. Następnie, przeskanujcie swoje zależności open-source pod kątem znanych CVE i zautomatyzujcie ten proces. Po trzecie, upewnijcie się, że macie plan reagowania na incydent na wypadek, gdyby któraś z odkrytych luk zdążyła być wykorzystana, zanim załatacie.
Czy Mythos będzie używany ofensywnie?
To pytanie pojawia się zawsze, kiedy ktoś dostaje narzędzie podwójnego zastosowania.
Według Anthropica nie. Project Glasswing to inicjatywa wyłącznie defensywna. Partnerzy konsorcjum to firmy zajmujące się obroną i dostarczaniem software’u, nie agencje wywiadu czy oferenci usług ofensywnych. Czy to wystarczająca gwarancja, to oddzielne pytanie, ale to deklaracja Anthropica.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
Podsumowanie
Project Glasswing to najpoważniejsza próba zorganizowanej obrony przed AI-wspomaganymi cyberatakami, jaką do tej pory widzieliśmy. Anthropic oddał swój najpotężniejszy, niewydany publicznie model Claude Mythos Preview w ręce konsorcjum największych firm tech: Apple, AWS, Microsoft, Google, Nvidia, CrowdStrike, Linux Foundation i innych. Mythos już znalazł tysiące zero-day vulnerabilities, w tym 27-letni bug w OpenBSD i 17-letnią lukę w FreeBSD. Dla polskich firm oznacza to lawinę nadchodzących aktualizacji bezpieczeństwa w open-source software i konieczność skrócenia cykli patchowania. Skala problemu pokazuje, że era, w której luki czekały dekady na odkrycie, właśnie się skończyła. AI znajdzie je teraz w dni i tylko od nas zależy, czy będzie to AI po stronie obrony, czy po stronie ataku.
