Project Glasswing: Program Keamanan Siber AI Anthropic (2026)
Project Glasswing dari Anthropic menggunakan Claude Mythos Preview untuk menemukan exploit zero-day dalam skala besar. Komitmen $100 juta. Tidak untuk publik. Rincian lengkap.
TL;DR
| Detail | Project Glasswing |
|---|---|
| Apa | Inisiatif keamanan siber defensif Anthropic |
| Ditenagai oleh | Claude Mythos Preview — model paling mumpuni dari Anthropic |
| Kemampuan inti | Menemukan dan mengeksploitasi kerentanan zero-day secara otonom |
| Cakupan | Menemukan ribuan zero-day di setiap OS dan peramban utama |
| Akses publik | Tidak ada — model Anthropic pertama yang tidak pernah dirilis untuk ketersediaan umum |
| Mitra | AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation |
| Komitmen finansial | $100 juta dalam kredit penggunaan + $4 juta dalam donasi keamanan open-source |
| Diumumkan | 7 April 2026 |
Apa Itu Project Glasswing?
Project Glasswing adalah inisiatif Anthropic untuk menggunakan AI dalam mengidentifikasi dan memperbaiki kerentanan keamanan siber yang belum ditemukan pada perangkat lunak kritis — dalam skala yang tidak dapat ditandingi oleh tim manusia mana pun.
Dinamakan berdasarkan kupu-kupu glasswing (dikenal karena sayapnya yang transparan, melambangkan transparansi dalam keamanan), proyek ini dibangun di atas Claude Mythos Preview, sebuah frontier model yang dianggap Anthropic terlalu kuat untuk dirilis secara publik.
Premisnya sederhana: jika model AI generasi berikutnya dapat menemukan dan mengeksploitasi celah keamanan secara otonom, pihak pertahanan membutuhkan akses ke kemampuan yang sama sebelum penyerang membangun kemampuan mereka sendiri. Alih-alih merilis Mythos Preview ke dunia dan berharap yang terbaik, Anthropic memilih untuk menerapkannya sebagai alat defensif bagi organisasi yang mengelola perangkat lunak yang diandalkan dunia.
Hal ini menjadikan Project Glasswing program pertama di jenisnya — sebuah perusahaan AI yang sengaja membatasi akses ke model tercanggihnya dan menyalurkan kemampuannya ke arah misi defensif tertentu.
Mengapa Project Glasswing Ada?
Selama pengujian internal, Anthropic menemukan bahwa Claude Mythos Preview dapat melakukan sesuatu yang belum pernah ditunjukkan oleh model AI sebelumnya: menemukan dan mengeksploitasi kerentanan zero-day secara otonom dalam perangkat lunak produksi dunia nyata.
Dari system card setebal 244 halaman yang diterbitkan pada 7 April 2026:
"Claude Mythos Preview menunjukkan lompatan besar dalam kemampuan siber dibandingkan model sebelumnya, termasuk kemampuan untuk menemukan dan mengeksploitasi kerentanan zero-day secara otonom di sistem operasi dan peramban web utama."
Kata kuncinya adalah "otonom." Model AI sebelumnya dapat membantu riset kerentanan ketika dipandu oleh para ahli. Mythos Preview dapat menjalankan seluruh proses itu sendiri — membaca kode sumber, membentuk hipotesis tentang potensi cacat, menulis exploit proof-of-concept, dan menghasilkan laporan bug lengkap dengan langkah-langkah reproduksi.
Anthropic menyadari bahwa jika model mereka bisa melakukan ini, hanya masalah waktu sebelum kemampuan serupa muncul di tempat lain. Pertanyaannya menjadi: apakah kita memberi pihak pertahanan awal yang lebih cepat, atau kita menunggu dan berharap?
Mereka memilih awal yang lebih cepat.
Kemampuan Siber: Apa yang Sebenarnya Bisa Dilakukan Mythos Preview
Hasil dari pengujian Anthropic sangat luar biasa dalam hal keluasan maupun kedalaman.
Ribuan Zero-Day di Seluruh Infrastruktur Kritis
Selama periode beberapa minggu, Claude Mythos Preview mengidentifikasi ribuan kerentanan yang sebelumnya tidak diketahui — banyak yang dinilai kritis — di:
- Setiap sistem operasi utama (Windows, macOS, Linux, FreeBSD, OpenBSD)
- Setiap peramban web utama (Chrome, Firefox, Safari, Edge)
- Komponen infrastruktur perangkat lunak kritis lainnya
Kerentanan Spesifik yang Diungkapkan
Di antara bug yang telah di-patch dan dapat dibahas secara publik:
- CVE-2026-4747 — Sebuah kerentanan remote code execution berusia 17 tahun di FreeBSD. Cacat tersebut ada dalam implementasi NFS dan memungkinkan penyerang yang tidak terautentikasi dari mana pun di internet untuk mendapatkan akses root. Mythos Preview menemukannya dan membangun exploit yang berfungsi secara penuh secara otonom.
- Sebuah bug berusia 27 tahun di OpenBSD — penting karena OpenBSD adalah sistem yang seluruh identitasnya dibangun di atas keamanan. Ini adalah kerentanan tertua yang ditemukan model tersebut.
- Sebuah kerentanan berusia 16 tahun di codec H.264 FFmpeg — memengaruhi salah satu pustaka pemrosesan multimedia yang paling banyak digunakan di dunia.
Pengembangan Exploit Lanjutan
Mythos Preview tidak hanya menemukan bug. Ia merangkainya menjadi urutan serangan yang canggih:
- Dalam satu kasus, ia menulis sebuah exploit peramban web yang merangkai empat kerentanan terpisah, termasuk JIT heap spray yang menembus sandbox renderer dan sandbox OS.
- Ia secara otonom mengembangkan exploit local privilege escalation di Linux dengan mengeksploitasi race conditions halus dan bypass KASLR.
- Ia menghasilkan exploit proof-of-concept lengkap dengan langkah-langkah reproduksi, yang diformat sebagai laporan bug profesional yang siap untuk triase pengembang.
Cara Kerja Secara Teknis
Anthropic menjalankan Mythos Preview melalui Claude Code — lingkungan pengodean agentic mereka. Model tersebut diperintahkan untuk menemukan kerentanan keamanan, dan kemudian secara agentic:
- Membaca kode sumber untuk memahami attack surface
- Berhipotesis tentang potensi kerentanan berdasarkan pola kode
- Menulis test harnesses dan kode exploit untuk mengonfirmasi hipotesisnya
- Menghasilkan laporan bug terstruktur dengan exploit proof-of-concept yang berfungsi
Siapa Saja Mitranya?
Project Glasswing diluncurkan dengan 12 mitra pendiri dan sejak itu berkembang menjadi lebih dari 40 organisasi.
Mitra Pendiri
| Organisasi | Peran |
|---|---|
| Amazon Web Services | Penyedia infrastruktur cloud |
| Apple | Vendor OS dan peramban |
| Broadcom | Perangkat lunak infrastruktur dan semikonduktor |
| Cisco | Infrastruktur jaringan dan keamanan |
| CrowdStrike | Platform keamanan endpoint |
| Vendor OS, peramban, dan cloud | |
| JPMorgan Chase | Infrastruktur keuangan |
| Linux Foundation | Pengelola ekosistem perangkat lunak open-source |
| Microsoft | Vendor OS, peramban, dan cloud |
| NVIDIA | Infrastruktur GPU dan AI |
| Palo Alto Networks | Keamanan jaringan dan cloud |
Daftar mitra ini menonjol karena cakupannya yang luas. Ini mencakup vendor sistem operasi (Apple, Microsoft, Google), penyedia cloud (AWS, Google, Microsoft), perusahaan keamanan (CrowdStrike, Palo Alto Networks), infrastruktur keuangan (JPMorgan Chase), dan ekosistem open-source (Linux Foundation).
Pendanaan Open-Source
Anthropic berkomitmen memberikan $4 juta dalam donasi langsung kepada organisasi keamanan open-source:
- $2,5 juta kepada Alpha-Omega dan OpenSSF melalui Linux Foundation
- $1,5 juta kepada Apache Software Foundation
Komitmen $100 Juta
Anthropic berkomitmen memberikan hingga $100 juta dalam kredit penggunaan untuk Mythos Preview di seluruh Project Glasswing.
Angka tersebut mencerminkan sifat penemuan kerentanan otonom yang padat komputasi. Menjalankan Mythos Preview di jutaan baris kode di setiap proyek perangkat lunak utama sangatlah mahal. Dengan menyediakan kredit daripada menagih mitra, Anthropic menghilangkan hambatan biaya yang seharusnya memperlambat pekerjaan defensif.
Sebagai konteks, $100 juta dalam kredit kemungkinan mewakili puluhan ribu jam GPU yang didedikasikan murni untuk menemukan dan mendokumentasikan celah keamanan sebelum penyerang dapat mengeksploitasinya.
Mengapa Tidak Merilis Modelnya Secara Publik?
Ini adalah pertanyaan yang diajukan semua orang. Alasan Anthropic memiliki tiga lapisan:
1. Risiko dual-use yang ekstrem. Kemampuan yang membuat Mythos Preview berharga untuk pertahanan — menemukan dan mengeksploitasi zero-day secara otonom — akan membuatnya sama berharganya untuk serangan. Merilisnya secara publik akan memberi setiap penyerang di dunia akses ke alat yang dapat menemukan kerentanan yang dapat dieksploitasi lebih cepat daripada yang bisa diperbaiki oleh tim manusia mana pun. 2. Asimetri yang menguntungkan penyerang. Penyerang hanya perlu menemukan satu kerentanan. Pihak pertahanan perlu memperbaiki semuanya. AI penemu kerentanan yang tersedia secara publik akan semakin memperlebar asimetri ini ke arah penyerang, bahkan jika pihak pertahanan juga memiliki akses. 3. Penerapan terkontrol yang berhasil. Dengan membatasi akses ke organisasi yang mengelola infrastruktur kritis, Anthropic memastikan output model langsung masuk ke alur perbaikan (patch pipeline). Kerentanan ditemukan, dilaporkan melalui pengungkapan terkoordinasi, dan diperbaiki — tanpa kode exploit yang bocor ke publik.Hal ini menjadikan Claude Mythos Preview model Anthropic pertama yang tidak pernah dirilis untuk ketersediaan umum. System card diterbitkan secara lengkap (seluruh 244 halaman), tetapi model itu sendiri tetap dibatasi.
Reaksi dan Kekhawatiran Industri
Project Glasswing telah menarik perhatian signifikan di seluruh lanskap teknologi dan kebijakan.
Penerimaan Positif
Peneliti keamanan dan pemimpin industri secara luas memuji inisiatif ini. Simon Willison mencatat bahwa membatasi Mythos kepada peneliti keamanan "terdengar perlu" mengingat kemampuan yang dijelaskan. Inisiatif ini dibahas antara Ketua Federal Reserve Powell, Menteri Keuangan Bessent, dan CEO bank besar AS, menurut CNBC, yang mencerminkan pentingnya sistemik dari penemuan kerentanan berbasis AI.
Skeptisisme dan Kekhawatiran
Tidak semua orang yakin. Beberapa veteran industri berpendapat bahwa menemukan kerentanan tidak pernah menjadi hambatan (bottleneck) — masalah sebenarnya adalah membuat organisasi benar-benar memperbaikinya. Seperti yang dilaporkan Fortune, kesenjangan antara penemuan dan remediasi tetap menjadi mata rantai terlemah dalam rantai keamanan.
Yang lain khawatir tentang preseden perusahaan AI yang memutuskan organisasi mana yang mendapatkan akses ke kemampuan yang kuat dan mana yang tidak. AI Safety Institute (AISI) Inggris menerbitkan evaluasinya sendiri tentang kemampuan siber Mythos Preview, memberikan penilaian independen atas klaim tersebut.
Apa yang Terjadi Selanjutnya?
Apakah ini akan menjadi kenormalan baru bagi frontier AI?
Kemungkinan besar iya. Seiring model AI menjadi lebih mumpuni, praktik membatasi akses ke model dengan kemampuan dual-use yang ekstrem mungkin akan menjadi standar. Project Glasswing adalah templat tentang bagaimana hal ini dapat bekerja: publikasikan system card secara transparan, batasi model itu sendiri, salurkan kemampuan ke arah pertahanan.
Apakah perusahaan AI lain akan mengikuti?
OpenAI sudah mengejar inisiatif keamanan sibernya sendiri, menciptakan apa yang digambarkan oleh Crypto News sebagai "perlombaan" antara perusahaan-perusahaan AI dalam kemampuan siber defensif.
Kapan kerentanan akan diungkapkan?
Anthropic mengikuti proses pengungkapan kerentanan terkoordinasi standar. Saat patch dirilis oleh vendor yang terdampak, detail kerentanan terkait akan dipublikasikan. Mengingat volumenya — ribuan zero-day — proses ini akan memakan waktu berbulan-bulan atau lebih lama.
Pertanyaan yang Sering Diajukan (FAQ)
Apa arti "Glasswing"?
Nama tersebut berasal dari kupu-kupu glasswing (Greta oto), yang sayapnya hampir transparan. Metaforanya adalah transparansi — baik dalam pendekatan Anthropic untuk menerbitkan system card lengkap maupun dalam tujuan membuat infrastruktur perangkat lunak lebih terlihat dan aman.
Bisakah saya menggunakan Claude Mythos Preview?
Tidak, kecuali jika Anda bekerja di salah satu dari 40+ organisasi mitra dalam konsorsium Project Glasswing. Anthropic tidak memiliki rencana yang diumumkan untuk merilis Mythos Preview bagi ketersediaan umum.
Apakah Project Glasswing terkait dengan Claude Opus 4.6 atau Claude Sonnet?
Tidak. Mythos Preview adalah model terpisah yang lebih mumpuni. Claude Opus 4.6 dan Sonnet 4.6 tetap tersedia melalui API Anthropic dan produk konsumen. Project Glasswing secara khusus menggunakan Mythos Preview karena kemampuan keamanan sibernya yang lebih unggul.
Bagaimana perbandingan Mythos Preview dengan model lain dalam tugas keamanan siber?
Tidak ada model lain yang diketahui publik yang menunjukkan kemampuan untuk menemukan dan mengeksploitasi kerentanan zero-day secara otonom pada skala ini. System card tersebut menjelaskan kemampuan yang mewakili, dalam kata-kata Anthropic, "lompatan mencolok" melampaui semua model sebelumnya.
Apakah ini berarti AI akan menggantikan peneliti keamanan manusia?
Tidak. Model tersebut menghasilkan laporan kerentanan dan exploit proof-of-concept, tetapi insinyur keamanan manusia masih diperlukan untuk memvalidasi temuan, mengembangkan patch, menguji perbaikan, dan mengoordinasikan pengungkapan. Anggap saja sebagai pengganda kekuatan yang secara dramatis memperluas cakupan dari apa yang dapat ditangani oleh tim keamanan.
Bagaimana dengan risiko model dicuri atau dibocorkan?
Ini adalah kekhawatiran sah yang telah ditangani Anthropic dalam system card. Model penerapan terbatas — di mana organisasi mitra mengakses Mythos Preview melalui infrastruktur terkontrol daripada mengunduh bobot model — dirancang untuk meminimalkan risiko ini.
Kesimpulan
Project Glasswing mewakili titik balik dalam bagaimana kemampuan frontier AI diterapkan. Alih-alih pendekatan standar — rilis secara luas dan tangani konsekuensinya nanti — Anthropic memilih penerapan terarah untuk misi defensif tertentu.
Apakah Anda memandang ini sebagai tata kelola AI yang bertanggung jawab atau preseden berbahaya di mana perusahaan swasta membatasi akses teknologi yang kuat, hasilnya sulit untuk dibantah: ribuan kerentanan kritis dalam perangkat lunak paling penting di dunia, ditemukan dan memasuki alur perbaikan sebelum penyerang menemukannya.
Implikasi keamanan sibernya bersifat segera. Implikasi tata kelolanya akan memakan waktu bertahun-tahun untuk terlihat sepenuhnya.
Di Y Build, kami melacak garda depan kemampuan AI dan bagaimana hal tersebut membentuk kembali pengembangan perangkat lunak dan keamanan. Sementara Project Glasswing berfokus pada keamanan siber, tren yang mendasarinya — model AI yang menjadi cukup mumpuni hingga memerlukan penerapan terbatas — akan membentuk bagaimana setiap pembangun bekerja dengan AI di tahun-tahun mendatang.
Sumber:
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Claude Mythos Preview System Card — red.anthropic.com
- Anthropic debuts preview of powerful new AI model Mythos — TechCrunch
- Anthropic says its most powerful AI cyber model is too dangerous to release — VentureBeat
- Simon Willison on Project Glasswing
- Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks — CNBC
- AISI evaluation of Claude Mythos Preview's cyber capabilities
- Anthropic caused panic that Mythos will expose cybersecurity weak spots — Fortune
- Introducing Project Glasswing — Linux Foundation
- The Vulnpocalypse: Why experts fear AI could tip the scales toward hackers — NBC News