Anthropicov Mythos: kada AI počne otkrivati tisuće propusta, mijenja se sigurnosna matematika

7. travnja 2026.
5 min čitanja
Apstraktni prikaz AI sustava koji skenira programski kod radi sigurnosnih ranjivosti

1. Naslov i uvod

Zamislite alat koji u nekoliko tjedana pronađe tisuće ranjivosti nultog dana u kodu starom deset ili dvadeset godina. To više nije posao jednog tima sigurnosnih stručnjaka, nego sposobnost novog AI modela – Mythosa tvrtke Anthropic. Model je predstavljen kao obrambeni štit u okviru inicijative Project Glasswing, ali tehnologija koja može masovno otkrivati propuste može ih, barem u teoriji, i zloupotrijebiti.

Za Hrvatsku i regiju, gdje državne službe i privatne tvrtke kombiniraju naslijeđene sustave, open source i ograničene sigurnosne resurse, ovo nije daleka budućnost nego vrlo konkretno pitanje. U nastavku analiziramo što Mythos znači za globalnu kibernetičku sigurnost, gdje je tu Europa i kako se u to uklapa SEE startup scena.

2. Vijest ukratko

Kako piše TechCrunch, Anthropic je 7. travnja 2026. ograničenom krugu partnera dao pristup predizdanju svog novog frontier modela Mythos. Model je dio nove sigurnosne inicijative Project Glasswing, u kojoj će 12 partnerskih organizacija – među njima Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft i Palo Alto Networks – koristiti Mythos za "obrambeni" sigurnosni rad.

Mythos je općenamjenski Claude model s naglašenim sposobnostima programiranja i logičkog zaključivanja. Anthropic navodi da će model analizirati vlasnički i otvoreni kod kako bi pronašao ranjivosti, te tvrdi da je u posljednjim tjednima već identificirao tisuće ranjivosti nultog dana, mnoge u kodu starom 10–20 godina. Ukupno će 40 organizacija imati pristup ovoj preview verziji.

TechCrunch podsjeća da je postojanje Mythosa procurilo ranije, kada je nacrt internog bloga o modelu – tada kodnog imena "Capybara" – slučajno ostao dostupan u javno pregledivom data lakeu. Anthropic se istodobno nalazi u pravnom sporu s administracijom Donalda Trumpa nakon što ga je Pentagon označio kao rizik u opskrbnom lancu, a nedavno je imao i zasebno curenje vlastitog izvornog koda.

3. Zašto je to važno

Ako jedan model može samostalno otkriti tisuće do tada nepoznatih propusta, cijena otkrivanja ranjivosti dramatično pada. Time se mijenja "matematika" kibernetičke sigurnosti.

Tko dobiva?

Prvi jasni dobitnici su veliki dobavljači softvera i oblaka – upravo oni koji sjede za stolom Project Glasswinga. Njihove kodne baze su goleme, prepune povijesnih kompromisa i složenih ovisnosti. Ručni pregled svega toga je nemoguć; AI koja neprekidno pretražuje i stare i nove module može im znatno smanjiti rizik i pomoći da ispunjavaju sve strože regulatorne zahtjeve.

Sigurnosne kompanije poput CrowdStrikea ili Palo Alto Networksa Mythos vide kao priliku za novu premium uslugu: kontinuiranu, AI‑pogonjenu analizu koda i preporuke za otklanjanje ranjivosti. U tržištu gdje je detekcija incidenata sve više komoditizirana, ovo je razlikovna prednost.

Tko (zasad) gubi?

Mala i srednja poduzeća, open‑source održavatelji i većina organizacija u jugoistočnoj Europi u prvoj rundi nisu u igri. Njihov softver može završiti pod povećalom nečijeg Mythosa, ali oni sami vjerojatno neće imati direktan pristup takvim alatima ni resurse za sanaciju vala otkrivenih problema.

To stvara rizik sigurnosnog jaza: veliki igrači ubrzano zatvaraju svoje rupe, dok ostatak ekosustava zaostaje. Uz to, koncentriranje znanja o tisućama kritičnih propusta u rukama jednog američkog laboratorija otvara neugodno pitanje – tko odlučuje što se, kada i kome otkriva, a što ostaje u ladici kao potencijalni geopolitički adut?

Nova vrsta rizika: AI kao stroj za nultodnevne ranjivosti

Anthropic u interno procurjelim dokumentima priznaje da bi se takav model mogao zloupotrijebiti i za ofenzivne svrhe. Čak i ako Mythos ostane strogo kontroliran i korišten isključivo za obranu, sama činjenica da je tehnika izvediva potaknut će druge – od državnih aktera do organiziranog kriminala – da pokušaju izgraditi vlastite verzije.

Drugim riječima, Mythos nam više govori o smjeru industrije nego o samom proizvodu: krećemo se prema svijetu u kojem će se brzina otkrivanja propusta mjeriti u GPU satima, a ne u radnim danima sigurnosnih analitičara.

4. Šira slika

Posljednjih godina svjedočimo intenzivnom povezivanju generativne AI i kibernetičke sigurnosti. Microsoft gura svoj "Security Copilot", Google promovira rješenja temeljena na Geminiju za analizu zlonamjernog koda i automatizaciju SOC‑a, brojni startupi u EU i SAD‑u nadograđuju postojeće SAST i DAST alate velikim jezičnim modelima.

Većina tih rješenja tretira AI kao asistenta: pomaže analitičaru da brže razumije logove, inženjeru da napiše sigurniji patch. Mythos sugerira nešto radikalnije: AI kao glavni "lovac" na do tada nepoznate propuste u masivnim kodnim bazama.

Povijest nudi usporedbe. Pojava alata poput Shodana ili Censysa omogućila je gotovo trivijalno skeniranje cijelog IPv4 prostora u potrazi za krivo konfiguriranim servisima. Ranjivosti nisu nastale tada, ali su odjednom postale vidljive svima koji su znali koristiti te alate. Sada bi se sličan efekt mogao pojaviti na razini izvornog koda.

Istovremeno, AI laboratoriji poprimaju novu ulogu: postaju čvorišta sigurnosnih informacija. Organizacija poput Anthropica, koja preko Mythosa vidi ponavljajuće obrasce grešaka u softveru različitih dobavljača i industrija, dobiva perspektivu kakvu su do sada imali nacionalni CERT‑ovi ili veliki vendori poput Microsofta. No za razliku od njih, AI labovi zasad nemaju jasno definirane obveze prema javnosti ili regulatorima kad je riječ o upravljanju ranjivostima.

Za konkurenciju među AI divovima Mythos je jasna poruka: Anthropic ne želi biti samo "još jedan chatbot", nego igrač s dubokim tehničkim sposobnostima koje su za državne i enterprise klijente izravno poslovno važne.

5. Europski i regionalni kut

Za EU se Mythos pojavljuje u trenutku kada stupaju na snagu NIS2 direktiva i Akt o kibernetičkoj otpornosti (CRA), a finalizira se i Akt o umjetnoj inteligenciji.

  • NIS2 i CRA guraju proizvođače i operatore prema sustavnom upravljanju ranjivostima i sigurnim razvojnim praksama.
  • EU AI Act će visoko‑rizične AI sustave podvrgnuti strogim zahtjevima transparentnosti, nadzora i upravljanja rizikom.

AI alati poput Mythosa teoretski su upravo ono što europski regulatori žele vidjeti u arsenalu proizvođača softvera. Posebno je zanimljivo partnerstvo s Linux Foundationom, budući da Europa – uključujući Hrvatsku – u javnom sektoru i telekomima snažno ovisi o Linuxu i open sourceu.

No tu su i poznate napetosti:

  • Digitalni suverenitet. Među partnerima Project Glasswinga nema velikog europskog cloud ili AI igrača. To potvrđuje trend u kojem Europa, pa tako i Hrvatska, i dalje uvozi ključne tehnologije, umjesto da ih gradi.
  • GDPR i povjerljivost koda. Slanje osjetljivog koda u američki oblak nije trivijalna odluka za hrvatske banke, operatore ili državne institucije, bez obzira na ugovorne klauzule. Pitanje gdje fizički i pravno "živi" AI koji gleda u našu kritičnu infrastrukturu nije detalj, već strateška odluka.

Za SEE startup i IT scenu – od Zagreba i Ljubljane do Beograda i Sofije – Mythos je i prijetnja i inspiracija. Prijetnja, jer podiže standard onoga što "AI za sigurnost" znači i čini jasno da će globalni igrači brzo osvojiti enterprise segment. Inspiracija, jer otvara prostor za specijalizirane regionalne proizvode: od AI‑podržanih alata za sigurniji razvoj do managed security servisa prilagođenih lokalnim regulacijama i jezicima.

6. Što slijedi

U sljedećih nekoliko godina vjerojatno ćemo vidjeti:

  1. Utrku u automatiziranom otkrivanju propusta. Drugi AI labovi i sigurnosne kuće pokušat će ponuditi vlastite "Mythose". Neće svi biti jednako učinkoviti, ali sama utrka će ubrzati usvajanje AI u sigurnosnim timovima.
  2. Silazak prema srednjem tržištu. Današnja preview verzija rezervirana je za 40 organizacija. U razdoblju od 12–24 mjeseca možemo očekivati komercijalne usluge tipa "AI revizija koda kao servis" dostupne i većim SMB‑ovima u EU.
  3. Regulatorne reakcije. U EU će se ENISA, nacionalni CERT‑ovi i nadzorna tijela za zaštitu podataka morati pozabaviti pitanjem kako upravljati modelima koji istovremeno povećavaju sigurnost i nose nove vrste rizika.

Za hrvatske tvrtke i javni sektor praktična pitanja su vrlo konkretna:

  • Znate li uopće gdje vam je najkritičniji kod i tko ga održava – in‑house, vendor, nearshore tim?
  • Imate li DevSecOps procese koji mogu "progutati" stotine ili tisuće novih nalaza bez paralize razvoja?
  • Kakvu strategiju imate za korištenje AI u sigurnosti: čekati gotove SaaS proizvode, tražiti EU‑bazirana rješenja ili graditi nešto vlastito na otvorenim modelima?

7. Zaključak

Mythos najavljuje eru u kojoj će moćni AI modeli rutinski prolaziti kroz baze koda i otkrivati više ranjivosti nego što ih timovi mogu ručno sanirati. U najboljem scenariju, to dugoročno smanjuje kibernetički rizik i pomaže regijama poput naše, gdje nedostaje sigurnosnog kadra. U gorem, stvaramo novu ovisnost o nekoliko američkih laboratorija koji drže uvid u naše najdublje tehničke slabosti.

Za Hrvatsku i širu regiju ključno je pitanje: hoćemo li biti samo korisnici tuđih AI "štitova" ili ćemo bar dio tih sposobnosti razvijati i kontrolirati sami – bilo kroz europske projekte, bilo kroz vlastite startupe i institucije?

Komentari

Ostavite komentar

Još nema komentara. Budite prvi!

Povezani članci

Sučelje Blueskyja s porukom o grešci i objavama koje u šali krive AI i „vibe coding“
UI

Kad padne servis, kriva je AI: Bluesky, „vibe coding“ i novo nepovjerenje u softver

Pad Blueskyja otkriva kako je „vibe coding“ postao zgodan krivac za AI‑kod i što to znači za povjerenje, EU regulativu i regionalne startupe.

5 min čitanja
Detaljan prikaz silicijskih wafera u suvremenoj tvornici čipova
UI

Intel spašava Terafab od znanstvene fantastike – i otkriva novu os chipovske moći

Intel ulazi u Muskovi Terafab. Analiza što to znači za AI čipove, Intelov foundry zaokret i europsku te regionalnu tehnološku scenu.

5 min čitanja
Veliki data centar s redovima serverskih ormara koji simbolizira širenje AI infrastrukture
UI

Anthropicova oklada od 3,5 GW: kada AI troši kao elektrana

Anthropicov 3,5‑GW dogovor s Googleom i Broadcomom pokazuje da usko grlo AI postaju struja i čipovi. Analiza posljedica za Europu i regiju.

5 min čitanja

Ostani informiran

Primaj najnovije vijesti iz svijeta AI i tehnologije.