Project Glasswing: Programang AI Cybersecurity ng Anthropic (2026)

Q: Ano ang ibig sabihin ng "Glasswing"?

Ang pangalan ay nagmula sa glasswing butterfly (*Greta oto*), na ang mga pakpak ay halos transparent. Ang metapora ay transparency — kapwa sa paraan ng Anthropic sa paglalathala ng buong system card at sa layuning gawing mas malinaw at ligtas ang software infrastructure.

TL;DR

Detalye	Project Glasswing
Ano ito	Defensive cybersecurity initiative ng Anthropic
Pinapatakbo ng	Claude Mythos Preview — ang pinakamakapangyarihang model ng Anthropic
Pangunahing kakayahan	Awtonomong naghahanap at nag-e-exploit ng mga zero-day vulnerability
Saklaw	Nakahanap ng libo-libong zero-day sa lahat ng pangunahing OS at browser
Pampublikong access	Wala — ang kauna-unahang Anthropic model na hindi kailanman inilabas para sa general availability
Mga Partner	AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation
Inilaang pondo	$100M sa mga usage credit + $4M sa mga open-source security donation
Inanunsyo noong	Abril 7, 2026

Ano ang Project Glasswing?

Ang Project Glasswing ay isang inisyatiba ng Anthropic upang gumamit ng AI sa pagtukoy at pag-aayos ng mga hindi pa nadidiskubreng cybersecurity vulnerabilities sa mga kritikal na software — sa antas na hindi kayang tapatan ng anumang pangkat ng tao.

Ipinangalan sa glasswing butterfly (kilala sa kaniyang transparent na pakpak, na sumisimbolo sa transparency sa seguridad), ang proyekto ay binuo sa Claude Mythos Preview, isang frontier model na itinuturing ng Anthropic na masyadong makapangyarihan para sa pampublikong release.

Simple lang ang batayan nito: kung ang mga susunod na henerasyon ng AI models ay kayang makahanap at mag-exploit ng mga security hole nang mag-isa, kailangan ng mga defender ng access sa parehong kakayahan bago pa makabuo ang mga attacker ng sarili nilang bersyon. Sa halip na ilabas ang Mythos Preview sa mundo at umasa sa swerte, pinili ng Anthropic na i-deploy ito bilang isang defensive tool para sa mga organisasyong nagpapanatili ng software na inaasahan ng buong mundo.

Dahil dito, ang Project Glasswing ay isang programang kauna-unahan sa uri nito — isang AI company na sadyang nililimitahan ang access sa pinaka-advanced nitong model at itinutuon ang mga kakayahan nito para sa isang partikular na defensive mission.

Bakit Mayroong Project Glasswing?

Sa panahon ng internal testing, nadiskubre ng Anthropic na ang Claude Mythos Preview ay kayang gawin ang isang bagay na hindi pa naipakita ng anumang naunang AI model: ang awtonomong pagtuklas at pag-exploit ng mga zero-day vulnerability sa mga real-world production software.

Mula sa 244-pahinang system card na inilathala noong Abril 7, 2026:

"Ang Claude Mythos Preview ay nagpakita ng isang kahanga-hangang pagtalon sa mga cyber capability kumpara sa mga naunang model, kabilang ang kakayahang awtonomong tumuklas at mag-exploit ng mga zero-day vulnerability sa mga pangunahing operating system at web browser."

Ang susing salita ay "autonomously" (awtonomo). Ang mga nakaraang AI model ay nakakatulong sa vulnerability research kapag ginagabayan ng mga eksperto. Ang Mythos Preview naman ay kayang patakbuhin ang buong proseso nang mag-isa — mula sa pagbabasa ng source code, pagbuo ng mga hypothesis tungkol sa mga potensyal na flaw, pagsusulat ng mga proof-of-concept exploit, at paggawa ng kumpletong bug report na may mga step para sa reproduction.

Nagtanto ang Anthropic na kung kaya itong gawin ng kanilang model, usapin na lamang ng panahon bago lumitaw ang mga katulad na kakayahan sa iba pang lugar. Ang naging tanong ay: bibigyan ba natin ang mga defender ng paunang bentahe, o maghihintay na lamang tayo at aasa?

Pinili nila ang paunang bentahe.

Ang mga Cyber Capability: Ano ang Kayang Gawin ng Mythos Preview

Ang mga resulta mula sa testing ng Anthropic ay kapansin-pansin sa lawak at lalim nito.

Libo-libong Zero-Day sa mga Kritikal na Infrastructure

Sa loob ng ilang linggo, tinukoy ng Claude Mythos Preview ang libo-libong mga dati nang hindi kilalang vulnerability — marami sa mga ito ay may rating na kritikal — sa:

Lahat ng pangunahing operating system (Windows, macOS, Linux, FreeBSD, OpenBSD)
Lahat ng pangunahing web browser (Chrome, Firefox, Safari, Edge)
Iba pang kritikal na software infrastructure component

Mahigit 99% ng mga nadiskubreng vulnerability ay hindi pa napa-patch, kaya naman iilang partikular na halimbawa lamang ang isiniwalat ng Anthropic.

Mga Partikular na Isiniwalat na Vulnerability

Kabilang sa mga bug na napa-patch na at maaari nang talakayin nang pampubliko:

CVE-2026-4747 — Isang 17-taong-gulang na remote code execution vulnerability sa FreeBSD. Ang flaw ay nasa NFS implementation at nagbibigay-daan sa isang unauthenticated attacker mula saanman sa internet na makakuha ng root access. Nahanap ito ng Mythos Preview at nakabuo ng isang gumaganang exploit nang ganap na awtonomo.

Isang 27-taong-gulang na bug sa OpenBSD — kapansin-pansin dahil ang OpenBSD ay isang system na ang buong identidad ay nakabatay sa seguridad. Ito ang pinakalumang vulnerability na nadiskubre ng model.

Isang 16-taong-gulang na vulnerability sa H.264 codec ng FFmpeg — na nakaaapekto sa isa sa pinakamalawak na ginagamit na multimedia processing libraries sa mundo.

Advanced Exploit Development

Hindi lamang naghahanap ng mga bug ang Mythos Preview. Pinagsasama-sama rin nito ang mga ito sa mga sopistikadong attack sequence:

Sa isang kaso, nakasulat ito ng isang web browser exploit na nag-chain ng apat na magkakahiwalay na vulnerability, kabilang ang isang JIT heap spray na naka-escape sa renderer sandbox at OS sandbox.
Awtonomo itong nakabuo ng mga local privilege escalation exploit sa Linux sa pamamagitan ng pag-exploit sa mga subtle race condition at mga KASLR bypass.
Nakakagawa ito ng mga kumpletong proof-of-concept exploit na may reproduction steps, na naka-format bilang mga propesyonal na bug report na handa na para sa developer triage.

Paano ito Gumagana sa Teknikal na Aspeto

Pinapatakbo ng Anthropic ang Mythos Preview sa pamamagitan ng Claude Code — ang kanilang agentic coding environment. Inaatasan ang model na maghanap ng mga security vulnerability, at pagkatapos ay awtonomong:

Nagbabasa ng source code upang maunawaan ang attack surface
Bumubuo ng mga hypothesis tungkol sa mga potensyal na vulnerability batay sa mga code pattern
Nagsusulat ng mga test harness at exploit code upang kumpirmahin ang mga hypothesis nito
Gumagawa ng structured bug reports na may kasamang gumaganang proof-of-concept exploits

Ang proseso ay end-to-end autonomous. Walang tao ang kailangang gumabay sa bawat hakbang.

Sino-sino ang mga Partner?

Ang Project Glasswing ay inilunsad kasama ang 12 founding partners at mula noon ay lumawak na sa mahigit 40 na organisasyon.

Mga Founding Partner

Organisasyon	Tungkulin
Amazon Web Services	Cloud infrastructure provider
Apple	OS at browser vendor
Broadcom	Semiconductor at infrastructure software
Cisco	Networking at security infrastructure
CrowdStrike	Endpoint security platform
Google	OS, browser, at cloud vendor
JPMorgan Chase	Financial infrastructure
Linux Foundation	Tagapangalaga ng open-source software ecosystem
Microsoft	OS, browser, at cloud vendor
NVIDIA	GPU at AI infrastructure
Palo Alto Networks	Network at cloud security

Kapansin-pansin ang lawak ng listahan ng mga partner. Sakop nito ang mga operating system vendor (Apple, Microsoft, Google), cloud providers (AWS, Google, Microsoft), security companies (CrowdStrike, Palo Alto Networks), financial infrastructure (JPMorgan Chase), at ang open-source ecosystem (Linux Foundation).

Pondo para sa Open-Source

Naglaan ang Anthropic ng $4M sa mga direktang donasyon para sa mga open-source security organization:

$2.5M para sa Alpha-Omega at OpenSSF sa pamamagitan ng Linux Foundation
$1.5M para sa Apache Software Foundation

Mahalaga ito dahil ang malaking bahagi ng kritikal na software infrastructure sa mundo ay open source, na pinapanatili ng maliliit na team na may limitadong pondo para sa seguridad. Ang pondong ito ay tumutulong sa mga organisasyong ito na aksyunan ang mga vulnerability na nahahanap ng Mythos Preview.

Ang $100M na Commitment

Ang Anthropic ay naglalaan ng hanggang $100 milyong halaga ng usage credits para sa Mythos Preview sa buong Project Glasswing.

Sinasalamin ng halagang iyan ang compute-intensive na kalikasan ng awtonomong pagtuklas ng vulnerability. Ang pagpapatakbo ng Mythos Preview sa milyun-milyong linya ng code sa bawat pangunahing software project ay mahal. Sa pamamagitan ng pagbibigay ng credit sa halip na singilin ang mga partner, tinatanggal ng Anthropic ang hadlang sa gastos na maaari sanang magpabagal sa gawaing pang-depensa.

Para sa konteksto, ang $100M sa credits ay malamang na kumakatawan sa sampu-sampung libong GPU-hours na nakalaan lamang sa paghahanap at pagdodokumento ng mga security flaw bago pa man ito ma-exploit ng mga attacker.

Bakit Hindi Ilabas ang Model nang Pampubliko?

Ito ang tanong ng lahat. Ang katwiran ng Anthropic ay may tatlong aspeto:

1. Ang dual-use risk ay matindi. Ang mismong kakayahan na ginagawang mahalaga ang Mythos Preview para sa depensa — ang awtonomong paghahanap at pag-exploit ng mga zero-day — ay siya ring magiging kapaki-pakinabang para sa opensiba. Ang paglalabas nito nang pampubliko ay magbibigay sa bawat attacker sa mundo ng access sa isang tool na kayang makahanap ng mga exploitable vulnerability nang mas mabilis kaysa sa anumang pangkat ng tao na nagpa-patch nito. 2. Ang asymmetry ay pumapabor sa mga attacker. Ang mga attacker ay kailangang makahanap lamang ng isang vulnerability. Ang mga defender naman ay kailangang i-patch ang lahat ng ito. Ang isang pampublikong vulnerability-finding AI ay mas magpapabor sa asymmetry na ito para sa mga attacker, kahit pa may access din ang mga defender. 3. Gumagana ang controlled deployment. Sa pamamagitan ng paglimita ng access sa mga organisasyong nagpapanatili ng kritikal na infrastructure, tinitiyak ng Anthropic na ang output ng model ay direktang pupunta sa patch pipeline. Ang mga vulnerability ay nahahanap, nairereport sa pamamagitan ng coordinated disclosure, at naaayos — nang walang tumatagas na exploit code.

Dahil dito, ang Claude Mythos Preview ay ang kauna-unahang Anthropic model na hindi kailanman inilabas para sa general availability. Ang system card ay inilathala nang buo (lahat ng 244 pahina), ngunit ang model mismo ay nananatiling limitado.

Mga Reaksyon at Alalahanin ng Industriya

Ang Project Glasswing ay nakakuha ng malaking atensyon sa buong teknolohiya at policy landscape.

Positibong Pagtanggap

Pinuri ng mga security researcher at industry leaders ang inisyatiba. Ayon kay Simon Willison, ang paglilimita ng Mythos sa mga security researcher ay "tila kinakailangan" dahil sa mga kakayahang inilarawan. Tinalakay ang inisyatiba sa pagitan nina Federal Reserve Chair Powell, Treasury Secretary Bessent, at mga CEO ng malalaking bangko sa U.S., ayon sa CNBC, na nagpapakita ng sistemikong kahalagahan ng AI-driven vulnerability discovery.

Pagdududa at Alalahanin

Hindi lahat ay kumbinsido. Sinasabi ng ilang industry veterans na ang paghahanap ng mga vulnerability ay hindi kailanman naging bottleneck — ang tunay na problema ay ang pagkumbinsi sa mga organisasyon na talagang ayusin ang mga ito. Gaya ng iniulat ng Fortune, ang puwang sa pagitan ng pagtuklas at remediation ang nananatiling pinakamahinang bahagi sa security chain.

Nag-aalala naman ang iba sa precedent kung saan ang isang AI company ang nagdedesisyon kung aling mga organisasyon ang magkakaroon ng access sa makapangyarihang mga kakayahan at kung sino ang hindi. Ang AI Safety Institute (AISI) ng UK ay naglabas ng sarili nilang pagsusuri sa mga cyber capability ng Mythos Preview, na nagbibigay ng independent assessment sa mga claim na ito.

Ano ang Susunod na Mangyayari?

Ito na ba ang bagong normal para sa frontier AI?

Malamang, oo. Habang nagiging mas may kakayahan ang mga AI model, ang kasanayan ng paglilimita sa access sa mga model na may matinding dual-use capability ay malamang na maging standard. Ang Project Glasswing ay isang template kung paano ito gagana: i-publish ang system card nang transparent, limitahan ang model mismo, at ituon ang mga kakayahan para sa depensa.

Susunod ba ang ibang AI companies?

Ang OpenAI ay kasalukuyan na ring bumubuo ng sarili nitong mga cybersecurity initiative, na lumilikha ng tinawag ng Crypto News na "race" sa pagitan ng mga AI company sa mga defensive cyber capability.

Kailan isisiwalat ang mga vulnerability?

Sumusunod ang Anthropic sa mga standard na coordinated vulnerability disclosure process. Habang naglalabas ng mga patch ang mga apektadong vendor, ang mga kaukulang detalye ng vulnerability ay magiging pampubliko. Dahil sa dami — libo-libong zero-day — ang prosesong ito ay aabutin ng ilang buwan o higit pa.

Mga Madalas Itanong (FAQ)

Ano ang ibig sabihin ng "Glasswing"?

Ang pangalan ay nagmula sa glasswing butterfly (Greta oto), na ang mga pakpak ay halos transparent. Ang metapora ay transparency — kapwa sa paraan ng Anthropic sa paglalathala ng buong system card at sa layuning gawing mas malinaw at ligtas ang software infrastructure.

Maaari ko bang gamitin ang Claude Mythos Preview?

Hindi, maliban na lang kung nagtatrabaho ka sa isa sa 40+ na partner organization sa Project Glasswing consortium. Walang inanunsyong plano ang Anthropic na ilabas ang Mythos Preview para sa general availability.

May kaugnayan ba ang Project Glasswing sa Claude Opus 4.6 o Claude Sonnet?

Wala. Ang Mythos Preview ay isang hiwalay at mas may kakayahang model. Ang Claude Opus 4.6 at Sonnet 4.6 ay nananatiling available sa pamamagitan ng Anthropic API at mga consumer product. Partikular na ginagamit ng Project Glasswing ang Mythos Preview para sa mas mataas nitong cybersecurity capabilities.

Paano maihahambing ang Mythos Preview sa ibang models sa mga gawaing cybersecurity?

Wala pang ibang model na kilala sa publiko ang nagpakita ng kakayahang awtonomong tumuklas at mag-exploit ng mga zero-day vulnerability sa ganitong scale. Inilalarawan ng system card ang mga kakayahang kumakatawan, sa pananalita ng Anthropic, sa isang "striking leap" lampas sa lahat ng naunang model.

Ibig bang sabihin nito ay papalitan na ng AI ang mga human security researcher?

Hindi. Ang model ay gumagawa ng mga vulnerability report at proof-of-concept exploit, ngunit kailangan pa rin ang mga human security engineer upang i-validate ang mga nahanap, bumuo ng mga patch, i-test ang mga fix, at i-coordinate ang disclosure. Isipin ito bilang isang force multiplier na lubos na nagpapalawak sa saklaw ng kayang gawin ng isang security team.

Paano ang panganib na manakaw o tumagas ang model?

Ito ay isang lehitimong alalahanin na tinugunan ng Anthropic sa system card. Ang restricted deployment model — kung saan ina-access ng mga partner organization ang Mythos Preview sa pamamagitan ng kontroladong infrastructure sa halip na i-download ang model weights — ay idinisenyo upang mabawasan ang panganib na ito.

Ang Bottom Line

Ang Project Glasswing ay kumakatawan sa isang mahalagang pagbabago sa kung paano idinedeploy ang mga frontier AI capability. Sa halip na ang default na diskarte — ilabas nang malawakan at harapin ang mga bunga sa huli — pinili ng Anthropic ang targeted deployment para sa isang partikular na defensive mission.

Ituring mo man itong responsableng AI governance o isang mapanganib na precedent kung saan ang isang pribadong kumpanya ang nagbabantay sa makapangyarihang teknolohiya, mahirap itanggi ang mga resulta: libo-libong kritikal na vulnerability sa pinaka-importanteng software sa mundo ang nadiskubre at pumasok sa patch pipeline bago pa man nahanap ng mga attacker.

Ang mga implikasyon sa cybersecurity ay agaran. Ang mga implikasyon sa governance ay aabutin ng maraming taon bago ganap na maunawaan.

Sa Y Build, sinusubaybayan namin ang hangganan ng mga kakayahan ng AI at kung paano nito binabago ang software development at seguridad. Habang ang Project Glasswing ay nakatuon sa cybersecurity, ang pinagbabatayang trend — ang mga AI model na nagiging sapat na makapangyarihan para mangailangan ng restricted deployment — ang huhubog sa kung paano magtatrabaho ang bawat builder sa AI sa mga darating na taon.

Mga Pinagmulan: