Πάνω από 10.000 σοβαρά bugs αποκάλυψε η Anthropic σε έναν μήνα χάρη στο Project Glasswing

Η Anthropic ανακοίνωσε την Παρασκευή ότι το Project Glasswing, μια περιορισμένη πρωτοβουλία στον τομέα της κυβερνοασφάλειας, εντόπισε μέσα σε μόλις έναν μήνα περισσότερες από 10.000 πιθανές ευπάθειες υψηλής ή κρίσιμης σοβαρότητας σε ορισμένα από τα πιο συστημικά σημαντικά λογισμικά παγκοσμίως.

Η εξέλιξη αναδεικνύει το σημαντικό χάσμα που εξακολουθεί να υπάρχει ανάμεσα στον εντοπισμό των κενών ασφαλείας και στην ουσιαστική επιδιόρθωσή τους. Από τα ευρήματα, 1.726 έχουν επιβεβαιωθεί ως αληθινά θετικά και 1.094 ως υψηλής ή κρίσιμης σοβαρότητας. Μόλις 97 έχουν διορθωθεί. Ο ρυθμός ανακάλυψης αποδεικνύεται πολλαπλάσια ταχύτερος από τον ρυθμό κυκλοφορίας διορθώσεων.

Οι επιπτώσεις στην κοινότητα ανοικτού κώδικα είναι άμεσες. Συνολικά 6.202 υποψήφιες ευπάθειες υψηλής ή κρίσιμης σοβαρότητας επηρεάζουν πάνω από 1.000 projects ανοικτού κώδικα και έχουν εκδοθεί 88 ενημερώσεις ασφαλείας. Η Anthropic καλεί τους προγραμματιστές να συντομεύσουν τους κύκλους επιδιόρθωσης και να διαθέτουν διορθώσεις το συντομότερο δυνατό.

Η Oracle έχει ήδη μεταβεί από τριμηνιαίες σε μηνιαίες κυκλοφορίες επιδιορθώσεων για να ανταποκριθεί στην επιτάχυνση, ενώ η Microsoft προειδοποιεί ότι ο μηνιαίος αριθμός ενημερώσεων που αναμένει να εκδίδει θα συνεχίσει να αυξάνεται για κάποιο διάστημα.

Μεταξύ των πιο αξιοσημείωτων ευρημάτων είναι μια κρίσιμη ευπάθεια στο WolfSSL (CVE-2026-5194, βαθμολογία CVSS 9,1), που επιτρέπει πλαστογράφηση πιστοποιητικών και μίμηση νόμιμης υπηρεσίας. Το WolfSSL χρησιμοποιείται ευρέως σε συσκευές IoT, πλατφόρμες αυτοκινήτων και βιομηχανικά περιβάλλοντα, όπου μια τέτοια αδυναμία ξεπερνά τα όρια της συμβατικής ασφάλειας ιστού.

Το Glasswing υιοθετεί ένα αυστηρά περιορισμένο μοντέλο συνεργασίας, δίνοντας πρόσβαση στο Claude Mythos Preview σε περίπου 50 οργανισμούς, οι οποίοι χαρακτηρίζονται ως από τους πλέον κρίσιμους για την άμυνα στον κυβερνοχώρο. Το μοντέλο δεν διατίθεται στο ευρύ κοινό. Η XBOW χαρακτήρισε το Mythos Preview σημαντική πρόοδο, σαφώς ανώτερη από προηγούμενα μοντέλα στον εντοπισμό υποψήφιων ευπαθειών και ικανή στην ανάλυση πηγαίου κώδικα με οπτική ασφάλειας. Η Cloudflare διαπίστωσε ότι το μοντέλο μετατρέπει μεμονωμένες ευπάθειες σε αλυσίδες επίθεσης από άκρο σε άκρο, δυνατότητα χρήσιμη για την οικοδόμηση μοντέλων απειλής και επικίνδυνη σε λάθος χέρια.

Οι αμυντικές εφαρμογές δεν περιορίζονται στις ευπάθειες. Τράπεζα που συνεργάζεται με το Glasswing χρησιμοποίησε το Claude Mythos για να εντοπίσει και να αποτρέψει εικονική μεταφορά 1,5 εκατ. δολαρίων, αφότου εισβολέας παραβίασε λογαριασμό email πελάτη και έκανε παραπλανητικές κλήσεις. Το μοντέλο αναγνώρισε το μοτίβο απάτης πριν εκτελεστεί η συναλλαγή.

Η επιτάχυνση συμπίπτει με αύξηση σχετικών αποκαλύψεων ασφαλείας στην τεχνητή νοημοσύνη. Οι ευπάθειες Claw Chain της Cyera στο OpenClaw έδειξαν πώς επιτιθέμενοι μπορούν να αξιοποιήσουν τα ίδια προνόμια sandbox ενός AI agent, ενώ ο έλεγχος της Koi Security στο ClawHub εντόπισε 341 κακόβουλες καταχωρίσεις σε σύνολο 2.857 διαθέσιμων δεξιοτήτων AI agents.

Η Anthropic λάνσαρε το Cyber Verification Program, που επιτρέπει σε διαπιστευμένους επαγγελματίες ασφάλειας να χρησιμοποιούν το Claude χωρίς περιοριστικά φίλτρα για νόμιμους σκοπούς, όπως έρευνα ευπαθειών, δοκιμές διείσδυσης και red teaming. Η OpenAI παρουσίασε το πρόγραμμα Daybreak με παρόμοια πρόσβαση στο GPT-5.5-Cyber. Κανένα από τα Mythos Preview ή GPT-5.5-Cyber δεν διατίθεται στο κοινό, λόγω ανησυχιών για ανεπαρκείς δικλίδες αποτροπής εκτεταμένης κακόβουλης χρήσης.

Ο ανταγωνισμός μεταξύ Anthropic και OpenAI στην κυβερνοασφάλεια εντείνεται. Και οι δύο τοποθετούν τα μοντέλα αιχμής ως κρίσιμη υποδομή για εθνική και εταιρική άμυνα, διατηρώντας παράλληλα περιορισμένη πρόσβαση. Η διττή φύση της τεχνολογίας παραμένει πολιτική πρόκληση, ενώ η Anthropic αναγνωρίζει ότι δυνατότητες επιπέδου Mythos είναι πιθανό να γίνουν ευρέως διαθέσιμες, γεγονός που καθιστά μη βιώσιμο το μοντέλο πρόσβασης μόνο σε 50 συνεργάτες.

Τα δημόσια διαθέσιμα μοντέλα Claude θεωρούνται ήδη από τα πιο ικανά εργαλεία κωδικοποίησης και το χάσμα με το Mythos μικραίνει σε κάθε νέα έκδοση. Η Anthropic καλεί τους οργανισμούς να προετοιμαστούν ενισχύοντας τις ρυθμίσεις δικτύου, εφαρμόζοντας πολυπαραγοντικό έλεγχο ταυτότητας και διατηρώντας ολοκληρωμένα αρχεία καταγραφής για εντοπισμό και ανταπόκριση.