1. Naslov in uvod
Ideja, da lahko en sam model umetne inteligence v nekaj tednih odkrije tisoče ranljivosti v kodi, je še pred kratkim zvenela kot teorija. Z Anthropicovim Mythosom postaja zelo konkretna. Če so trditve podjetja vsaj približno točne, ne govorimo več o "pametnejšem linterskem orodju", temveč o nenadni, boleči inventuri desetletij slabo pregledane programske opreme.
Anthropic želi Mythos pozicionirati kot obrambni ščit znotraj nove pobude Project Glasswing. Toda orodje, ki lahko hitro najde napake, je po definiciji tudi orožje. V nadaljevanju analiziramo, kaj Mythos pomeni za razmerje sil v kibernetski varnosti, za evropski – in slovenski – prostor ter ali si lahko privoščimo, da tovrstne zmogljivosti ostanejo v rokah peščice ameriških podjetij.
2. Novica na kratko
Kot poroča TechCrunch, je Anthropic 7. aprila 2026 omejenemu krogu partnerjev ponudil predogled novega vrhunskega modela Mythos. Model je del nove varnostne pobude Project Glasswing, v okviru katere bo 12 partnerskih organizacij – med drugim Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft in Palo Alto Networks – Mythos uporabljalo za "obrambno" varnostno delo.
Mythos je splošnonamenski model družine Claude z močnimi sposobnostmi programiranja in sklepanja. Anthropic pravi, da bo model pregledoval lastniško in odprtokodno programsko opremo ter iskal ranljivosti. Po navedbah podjetja je Mythos v zadnjih tednih že odkril več tisoč prej neznanih ranljivosti ničtega dne, mnoge v 10–20 let stari kodi. Skupno bo do predogleda Mythosa dostop imelo 40 organizacij.
TechCrunch spominja, da je bil obstoj Mythosa razkrit že prej, ko je bil interni blog o modelu z delovnim imenom "Capybara" zaradi napake dosegljiv v javnem podatkovnem jezeru. Anthropic je obenem v pravnem sporu z administracijo Donalda Trumpa, potem ko ga je Pentagon označil kot tveganje v dobavni verigi, ter se je nedavno soočil z ločenim uhajanjem lastne izvorne kode.
3. Zakaj je to pomembno
Če lahko en model v kratkem časovnem obdobju izlušči tisoče ranljivosti ničtega dne, to ni le nova generacija orodij za statično analizo. To je kvalitativna sprememba v dinamiki med napadalci in zagovorniki.
Kdo pridobi?
Prvi očiten zmagovalec so veliki ponudniki programske opreme in oblaka – prav tisti, ki sedijo za Projectom Glasswing. Njihove kode in odvisnosti so tako obsežne, da jih človeške ekipe preprosto ne morejo v celoti pregledati. AI, ki lahko sistematično prečeše desetletja staro kodo, je za njih darilo: zmanjšanje tveganja in močan argument pred regulatorji, vlagatelji in strankami.
Veliki ponudniki varnostnih rešitev (CrowdStrike, Palo Alto Networks in drugi) z Mythosom dobijo potencialno novo premium storitev: stalno, avtomatizirano "rudarjenje" ranljivosti v okoljih strank. Za njih je Mythos nova plast dodane vrednosti v svetu, kjer so zaznavanje incidentov in EDR že precej zasičeni trgi.
Kdo (začasno) izgubi?
Manjša podjetja, vključno s številnimi skrbniki kritičnih odprtokodnih komponent, pri prvem valu niso zraven. Njihova programska oprema bo verjetno prav tako pod drobnogledom (prek partnerjev ali Linux Foundationa), vendar ne bodo nujno imela dostopa do enakovrednih orodij, niti resursov za odpravo plazu najdenih napak. Paradoksalno lahko Mythos kratkoročno poveča varnostni razkorak med velikimi in malimi.
Tu je še vidik koncentracije moči: če en ameriški laboratorij kot prvi sistematično vidi tisoče lukenj po celotnem globalnem ekosistemu, se postavlja vprašanje – kdo določa prioritete, komu se kaj razkrije in v kakšnem tempu?
Nova vrsta tveganja: AI kot stroj za ničtedenske ranljivosti
V internih dokumentih, ki so pricurljali v javnost, Anthropic sam priznava, da bi lahko tak model, če bi ga uporabili zlonamerno, sistematično iskal in izkoriščal napake. Čeprav bo Mythos formalno uporabljen za obrambo, je pomembno spoznanje: tehnika kot taka je zdaj jasno izvedljiva. Drugi – od državnih napadalcev do kiberkriminalnih združb – bodo skušali ponoviti pristop.
Zato Mythos ni pomemben le zaradi tega, kar Anthropic počne danes, ampak ker pokaže smer: proti sistemom, ki bodo znali razumeti in lomiti kodo v obsegu, ki je za človeške ekipe nedosegljiv.
4. Širši kontekst
V zadnjih dveh letih smo videli sistematično prepletanje generativne AI in kibernetske varnosti. Microsoft gradi na konceptu "Security Copilot" in svojih podatkih o incidentih, Google ponuja orodja na osnovi Geminija za analizo zlonamerne kode in odzivanje na napade, številni start‑upi pa lepijo velike modele na obstoječa orodja za statično analizo, fuzzing in SAST.
Večina teh pristopov pa AI uporablja kot pomočnika: analitik dobi hitrejšo razlago logov, razvijalec dobi predlog popravka. Anthropic z Mythosom implicira nekaj bolj ambicioznega: AI kot primarni odkritelj še neznanih ranljivosti.
Nekaj podobnega smo doživeli v preteklosti. Ko so se pojavila orodja za celovit pregled interneta, kot sta Shodan in Censys, je nenadoma postalo trivialno odkriti napačno konfigurirane storitve po celem svetu. Ranljivosti niso nastale na novo, a stroški njihovega iskanja so se sesuli. Tudi takrat se je tehtnica premikala glede na to, ali so bili hitrejši zagovorniki ali napadalci.
Mythos nakazuje tak preskok na ravni kode. Avtomatizirano razumevanje ogromnih kodnih baz, vključno z zapuščinskimi sistemi in odprtokodnimi knjižnicami, lahko razgali dolgoleten "tehnični dolg" varnosti. O tem se govori že leta, a šele zdaj se pojavlja orodje, ki lahko račun dejansko izstavi.
Tiha, a pomembna posledica: AI laboratoriji postajajo akterji kibernetske varnosti prve lige. Ko organizacija, kot je Anthropic, vidi vzorce napak čez različne projekte in panoge, prevzema vlogo, ki so jo doslej imeli nacionalni CSIRT‑i in veliki dobavitelji. Razlika: laboratorij ni pod enakim demokratičnim in regulatornim nadzorom. Nedavni spodrsljaji Anthropica pri varovanju lastne kode kažejo, da ta nova plast zaupanja ni samoumevna.
5. Evropski in slovenski vidik
Za Evropo Mythos prihaja v trenutku, ko se zaostrujeta NIS2 in Uredba o kibernetski odpornosti (CRA), hkrati pa EU sprejema Akt o umetni inteligenci. Vse tri smernice potiskajo proizvajalce programske opreme k sistematičnemu upravljanju ranljivosti.
Na papirju so orodja tipa Mythos natanko tisto, kar si regulatorji želijo: zmožnost sistematičnega, ponovljivega pregleda kode v celotni dobavni verigi, vključno z odprtokodnimi komponentami. Vloga Linux Foundationa kot partnerja je zato za Evropo – ki močno temelji na Linuxu in odprti kodi v javni upravi in industriji – ključna.
A hkrati se zaostri vprašanje digitalne suverenosti:
- Odvisnost od ZDA. Med partnerji Projecta Glasswing ni evropskega hiperskalerja ali večjega EU AI laboratorija. Kritično znanje o ranljivostih v evropski infrastrukturi bo tako (vsaj na začetku) skoncentrirano pri ameriških podjetjih.
- GDPR in prenos kode. Vsak prenos občutljive ali osebne podatke vsebujoče kode v ameriški oblak je občutljiv. Tudi če Anthropic ponudi ustrezne pogodbe in tehnične zaščite, bodo mnoge evropske javne institucije in kritična infrastruktura zelo previdne.
- Usklajenost z EU AI Aktom. Sistemi, ki vplivajo na kibernetsko varnost in kritično infrastrukturo, bodo verjetno uvrščeni med visoko tvegane, z zahtevami po transparentnosti in človeškem nadzoru. Črni zaboj z izjemnimi zmogljivostmi, ki ga upravlja neevropski subjekt, bo tu težko preskočil politični prag zaupanja.
Za slovenska podjetja in javno upravo je zgodba dvojna. Po eni strani imamo tipičen problem majhnih trgov: kronično pomanjkanje varnostnih strokovnjakov in omejene proračune za ročne revizije kode. AI orodja, kot je Mythos (ali njihovi nasledniki), bi lahko dramatično pocenila odkrivanje napak v domačih rešitvah – od eZdravja do bančnih in logističnih sistemov. Po drugi strani pa to zahteva, da se strateško odločimo: bomo svojo kodo množično pošiljali čez Atlantik, ali bomo spodbujali razvoj oziroma licenciranje podobnih zmožnosti znotraj EU (morda skozi projekte, kot sta ECCC v Bukarešti ali skupne pobude v okviru Digital Europe)?
6. Pogled naprej
V naslednjih letih lahko pričakujemo izrazito pospešek v AI‑podprtem odkrivanju ranljivosti. Mythos bo verjetno služil kot referenčna točka:
- Drugi laboratoriji velikih modelov bodo poudarjali lastne varnostne zmogljivosti, tudi če v ozadju še lovijo Anthropic.
- Varnostna podjetja bodo vgrajevala velike modele neposredno v svoje orodje: SAST, DAST, SIEM, XDR – vse bo dobilo AI "možgane" za iskanje vzorcev.
- Države bodo želele vpogled v to, kar takšni modeli odkrijejo, še posebej v kontekstu kritične infrastrukture in obrambe.
Za bralce je ključno spremljati tri stvari:
- Politika razkritij. Ali bo Anthropic (in partnerji) transparentno komuniciral o tem, kaj Mythos najde, in spoštoval uveljavljene prakse koordiniranega razkrivanja? Ali pa bodo komercialni interesi in nacionalna varnost vodili v zasebne baze "super‑0‑dayev"?
- Dostopnost tehnologije. Ali bomo v 12–24 mesecih videli storitve v oblaku, ki bodo tudi manjšim ekipam omogočile MIT‑hosu podobno pregledovanje lastne kode – po razumni ceni in pod EU‑prijaznimi pogoji?
- Evropski odgovor. Bo EU (skupaj z državami članicami, kot je Slovenija) investirala v lastne modele in platforme za sistematično iskanje ranljivosti, povezane z ENISA, SI‑CERT in drugimi akterji? Ali bomo zgolj kupci ameriških "AI ščitov"?
Največja odprta dilema je preprosta: ali bo AI skrajšala "okno izpostavljenosti" – torej čas med nastankom ranljivosti in njenim popravkom – ali bo enako močno pomagala tudi napadalcem, da bodo luknje našli in zlorabili hitreje kot kdajkoli prej? Odgovor ne bo v modelih samih, temveč v pravilih, lastništvu in nadzoru okoli njih.
7. Spodnja črta
Mythos je signal, da vstopamo v obdobje, ko bodo modeli umetne inteligence rutinsko prečesavali kodo in odkrivali več ranljivosti, kot jih lahko človeške ekipe realistično odpravijo. Če bomo to moč uporabili premišljeno, lahko bistveno zmanjšamo sistemsko kibernetsko tveganje. Če jo bomo pustili v rokah peščice akterjev brez jasnih pravil, bomo ustvarili novo plast odvisnosti in možen enotni vir poraza. Za Slovenijo in EU je vprašanje preprosto: bomo gradili svoje AI‑podprte varnostne zmogljivosti in okvirje, ali bomo sprejeli, da varnost naše programske infrastrukture temelji na tujih modelih?
