Projek Glasswing: Program Keselamatan Siber AI Anthropic (2026)
Projek Glasswing daripada Anthropic menggunakan Claude Mythos Preview untuk mencari eksploit zero-day pada skala besar. Komitmen $100J. Tidak awam. Pecahan penuh.
TL;DR
| Perincian | Projek Glasswing |
|---|---|
| Apa | Inisiatif keselamatan siber defensif Anthropic |
| Dikuasakan oleh | Claude Mythos Preview — model Anthropic yang paling berkemampuan |
| Keupayaan teras | Menemui dan mengeksploitasi kerentanan zero-day secara autonomi |
| Skop | Menemui beribu-ribu zero-day merentasi setiap OS dan pelayar utama |
| Akses awam | Tiada — model Anthropic pertama yang tidak pernah dilancarkan untuk ketersediaan umum |
| Rakan Kongsi | AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation |
| Komitmen kewangan | $100J dalam kredit penggunaan + $4J dalam sumbangan keselamatan sumber terbuka |
| Diumumkan | 7 April 2026 |
Apa Itu Projek Glasswing?
Projek Glasswing ialah inisiatif Anthropic untuk menggunakan AI bagi mengenal pasti dan membaiki kerentanan keselamatan siber yang belum ditemui dalam perisian kritikal — pada skala yang tidak dapat ditandingi oleh mana-mana pasukan manusia.
Dinamakan sempena rama-rama glasswing (terkenal dengan sayapnya yang telus, melambangkan ketelusan dalam keselamatan), projek ini dibina di atas Claude Mythos Preview, sebuah model frontier yang dianggap oleh Anthropic sebagai terlalu berkuasa untuk pelancaran awam.
Premisnya mudah: jika model AI generasi seterusnya boleh mencari dan mengeksploitasi lubang keselamatan secara autonomi, pihak penyokong (defenders) memerlukan akses kepada keupayaan yang sama sebelum penyerang membina keupayaan mereka sendiri. Daripada melancarkan Mythos Preview kepada dunia dan hanya berharap yang terbaik, Anthropic memilih untuk menggunakannya sebagai alat defensif untuk organisasi yang menyelenggara perisian yang bergantung kepada dunia.
Ini menjadikan Projek Glasswing sebagai program pertama seumpamanya — sebuah syarikat AI yang sengaja menyekat akses kepada model paling maju dan menyalurkan keupayaannya ke arah misi defensif yang khusus.
Mengapa Projek Glasswing Wujud?
Semasa ujian dalaman, Anthropic mendapati bahawa Claude Mythos Preview boleh melakukan sesuatu yang belum pernah ditunjukkan oleh mana-mana model AI sebelum ini: menemui dan mengeksploitasi kerentanan zero-day secara autonomi dalam perisian produksi dunia nyata.
Daripada kad sistem 244 halaman yang diterbitkan pada 7 April 2026:
"Claude Mythos Preview menunjukkan lonjakan ketara dalam keupayaan siber berbanding model terdahulu, termasuk keupayaan untuk menemui dan mengeksploitasi kerentanan zero-day secara autonomi dalam sistem pengendalian utama dan pelayar web."
Kata kuncinya ialah "autonomi." Model AI sebelum ini boleh membantu dalam penyelidikan kerentanan apabila dibimbing oleh pakar. Mythos Preview boleh menjalankan keseluruhan proses itu sendiri — membaca kod sumber, membentuk hipotesis tentang potensi kecacatan, menulis eksploit bukti konsep (proof-of-concept), dan menghasilkan laporan pepijat yang lengkap dengan langkah-langkah reproduksi.
Anthropic menyedari bahawa jika model mereka boleh melakukan ini, ia hanya menunggu masa sebelum keupayaan yang sama muncul di tempat lain. Persoalannya ialah: adakah kita memberi pihak penyokong permulaan awal, atau adakah kita menunggu dan berharap?
Mereka memilih permulaan awal.
Keupayaan Siber: Apa yang Mythos Preview Benar-benar Boleh Lakukan
Keputusan daripada ujian Anthropic adalah luar biasa dari segi keluasan dan kedalaman.
Beribu-ribu Zero-Day Merentasi Infrastruktur Kritikal
Dalam tempoh beberapa minggu, Claude Mythos Preview mengenal pasti beribu-ribu kerentanan yang tidak diketahui sebelum ini — kebanyakannya dinilai sebagai kritikal — dalam:
- Setiap sistem pengendalian utama (Windows, macOS, Linux, FreeBSD, OpenBSD)
- Setiap pelayar web utama (Chrome, Firefox, Safari, Edge)
- Komponen infrastruktur perisian kritikal yang lain
Kerentanan Khusus yang Didedahkan
Antara pepijat yang telah ditampal dan boleh dibincangkan secara terbuka:
- CVE-2026-4747 — Sebuah kerentanan pelaksanaan kod jauh (RCE) berusia 17 tahun dalam FreeBSD. Kecacatan itu wujud dalam implementasi NFS dan membolehkan penyerang tanpa pengesahan dari mana-mana sahaja di internet untuk mendapatkan akses root. Mythos Preview menemuinya dan membina eksploit yang berfungsi secara autonomi sepenuhnya.
- Pepijat berusia 27 tahun dalam OpenBSD — ketara kerana OpenBSD ialah sistem yang identiti keseluruhannya dibina berasaskan keselamatan. Ini adalah kerentanan tertua yang ditemui oleh model tersebut.
- Kerentanan berusia 16 tahun dalam kodek H.264 FFmpeg — menjejaskan salah satu perpustakaan pemprosesan multimedia yang paling banyak digunakan di dunia.
Pembangunan Eksploit Termaju
Mythos Preview bukan sekadar mencari pepijat. Ia merangkaikannya menjadi urutan serangan yang canggih:
- Dalam satu kes, ia menulis sebuah eksploit pelayar web yang merangkaikan empat kerentanan berasingan, termasuk semburan timbunan (heap spray) JIT yang terlepas daripada sandbox perender dan sandbox OS.
- Ia secara autonomi membangunkan eksploit peningkatan keistimewaan tempatan (LPE) pada Linux dengan mengeksploitasi keadaan lumba (race conditions) yang halus dan pintasan KASLR.
- Ia menjana eksploit bukti konsep yang lengkap dengan langkah reproduksi, diformat sebagai laporan pepijat profesional yang sedia untuk triaj pembangun.
Cara Ia Berfungsi Secara Teknikal
Anthropic menjalankan Mythos Preview melalui Claude Code — persekitaran pengekodan ejen mereka. Model tersebut diarahkan untuk mencari kerentanan keselamatan, dan kemudian sebagai ejen:
- Membaca kod sumber untuk memahami permukaan serangan (attack surface)
- Membina hipotesis tentang kerentanan berpotensi berdasarkan corak kod
- Menulis alat ujian dan kod eksploit untuk mengesahkan hipotesisnya
- Menghasilkan laporan pepijat berstruktur dengan eksploit bukti konsep yang berfungsi
Siapakah Rakan Kongsinya?
Projek Glasswing dilancarkan dengan 12 rakan kongsi pengasas dan sejak itu telah berkembang kepada lebih 40 organisasi.
Rakan Kongsi Pengasas
| Organisasi | Peranan |
|---|---|
| Amazon Web Services | Penyedia infrastruktur awan |
| Apple | Vendor OS dan pelayar |
| Broadcom | Semikonduktor dan perisian infrastruktur |
| Cisco | Infrastruktur rangkaian dan keselamatan |
| CrowdStrike | Platform keselamatan titik akhir (endpoint) |
| Vendor OS, pelayar, dan awan | |
| JPMorgan Chase | Infrastruktur kewangan |
| Linux Foundation | Penjaga ekosistem perisian sumber terbuka |
| Microsoft | Vendor OS, pelayar, dan awan |
| NVIDIA | Infrastruktur GPU dan AI |
| Palo Alto Networks | Keselamatan rangkaian dan awan |
Senarai rakan kongsi ini amat menarik kerana keluasannya. Ia merangkumi vendor sistem pengendalian (Apple, Microsoft, Google), penyedia awan (AWS, Google, Microsoft), syarikat keselamatan (CrowdStrike, Palo Alto Networks), infrastruktur kewangan (JPMorgan Chase), dan ekosistem sumber terbuka (Linux Foundation).
Pembiayaan Sumber Terbuka
Anthropic memberikan komitmen sebanyak $4J dalam bentuk sumbangan langsung kepada organisasi keselamatan sumber terbuka:
- $2.5J kepada Alpha-Omega dan OpenSSF melalui Linux Foundation
- $1.5J kepada Apache Software Foundation
Komitmen $100J
Anthropic memberikan komitmen sehingga $100 juta dalam bentuk kredit penggunaan untuk Mythos Preview merentasi Projek Glasswing.
Angka itu mencerminkan sifat penemuan kerentanan autonomi yang berintensifkan komputasi. Menjalankan Mythos Preview merentasi berjuta-juta baris kod dalam setiap projek perisian utama adalah mahal. Dengan menyediakan kredit berbanding mengenakan bayaran kepada rakan kongsi, Anthropic menghapuskan halangan kos yang sebaliknya akan melambatkan kerja defensif.
Sebagai konteks, kredit $100J berkemungkinan mewakili puluhan ribu jam-GPU yang didedikasikan semata-mata untuk mencari dan mendokumentasikan kelemahan keselamatan sebelum penyerang dapat mengeksploitasinya.
Mengapa Tidak Melancarkan Model Tersebut Secara Terbuka?
Ini adalah soalan yang ditanya oleh semua orang. Alasan Anthropic mempunyai tiga lapisan:
1. Risiko dwiguna yang ekstrem. Keupayaan tepat yang menjadikan Mythos Preview berharga untuk pertahanan — menemui dan mengeksploitasi zero-day secara autonomi — akan menjadikannya sama berharga untuk serangan. Melancarkannya secara terbuka akan memberi setiap penyerang di dunia akses kepada alat yang boleh mencari kerentanan boleh eksploit lebih cepat daripada yang boleh ditampal oleh mana-mana pasukan manusia. 2. Asimetri memihak kepada penyerang. Penyerang hanya perlu mencari satu kerentanan. Pihak penyokong perlu menampal semuanya. AI pencari kerentanan yang tersedia secara umum akan memihak kepada asimetri ini ke arah penyerang, walaupun pihak penyokong juga mempunyai akses. 3. Implementasi terkawal berkesan. Dengan mengehadkan akses kepada organisasi yang menyelenggara infrastruktur kritikal, Anthropic memastikan output model tersebut terus masuk ke dalam saluran penampalan (patch pipeline). Kerentanan ditemui, dilaporkan melalui pendedahan yang diselaraskan, dan dibaiki — tanpa kod eksploit bocor ke luar.Ini menjadikan Claude Mythos Preview sebagai model Anthropic pertama yang tidak pernah dilancarkan untuk ketersediaan umum. Kad sistem tersebut telah diterbitkan sepenuhnya (semua 244 halaman), tetapi model itu sendiri kekal terhad.
Reaksi dan Kebimbangan Industri
Projek Glasswing telah menarik perhatian penting merentasi landskap teknologi dan dasar.
Penerimaan Positif
Penyelidik keselamatan dan pemimpin industri secara umumnya memuji inisiatif ini. Simon Willison menyatakan bahawa mengehadkan Mythos kepada penyelidik keselamatan "kedengaran perlu" memandangkan keupayaan yang diterangkan. Inisiatif ini telah dibincangkan antara Pengerusi Rizab Persekutuan Powell, Setiausaha Perbendaharaan Bessent, dan CEO bank utama A.S., menurut CNBC, mencerminkan kepentingan sistemik penemuan kerentanan yang dipacu AI.
Skeptisisme dan Kebimbangan
Bukan semua orang yakin. Beberapa veteran industri berpendapat bahawa mencari kerentanan tidak pernah menjadi kekangan utama — masalah sebenar adalah membuat organisasi benar-benar membaikinya. Sebagaimana yang dilaporkan oleh Fortune, jurang antara penemuan dan remediasi kekal sebagai pautan paling lemah dalam rantaian keselamatan.
Lain-lain bimbang tentang preseden syarikat AI yang memutuskan organisasi mana yang mendapat akses kepada keupayaan berkuasa dan mana yang tidak. Institut Keselamatan AI UK (AISI) menerbitkan penilaiannya sendiri tentang keupayaan siber Mythos Preview, memberikan penilaian bebas terhadap dakwaan tersebut.
Apa yang Akan Berlaku Seterusnya?
Adakah ini norma baharu untuk AI frontier?
Berkemungkinan besar ya. Apabila model AI menjadi lebih berkemampuan, amalan menyekat akses kepada model dengan keupayaan dwiguna yang ekstrem mungkin akan menjadi standard. Projek Glasswing ialah templat untuk bagaimana perkara ini boleh berfungsi: terbitkan kad sistem secara telus, sekat model itu sendiri, salurkan keupayaan ke arah pertahanan.
Adakah syarikat AI lain akan mengikut jejak?
OpenAI sudah pun mengejar inisiatif keselamatan sibernya sendiri, mewujudkan apa yang digambarkan oleh Crypto News sebagai "perlumbaan" antara syarikat AI mengenai keupayaan siber defensif.
Bilakah kerentanan tersebut akan didedahkan?
Anthropic mengikuti proses pendedahan kerentanan yang diselaraskan secara standard. Apabila tampalan dikeluarkan oleh vendor yang terjejas, butiran kerentanan yang berkaitan akan menjadi umum. Memandangkan jumlahnya — beribu-ribu zero-day — proses ini akan mengambil masa berbulan-bulan atau lebih lama.
Soalan Lazim
Apa maksud "Glasswing"?
Nama itu berasal dari rama-rama glasswing (Greta oto), yang sayapnya hampir telus. Metafora itu adalah ketelusan — baik dalam pendekatan Anthropic untuk menerbitkan kad sistem penuh mahupun dalam matlamat menjadikan infrastruktur perisian lebih jelas dan selamat.
Bolehkah saya menggunakan Claude Mythos Preview?
Tidak, melainkan anda bekerja di salah satu daripada 40+ organisasi rakan kongsi dalam konsortium Projek Glasswing. Anthropic tidak mempunyai rancangan yang diumumkan untuk melancarkan Mythos Preview untuk ketersediaan umum.
Adakah Projek Glasswing berkaitan dengan Claude Opus 4.6 atau Claude Sonnet?
Tidak. Mythos Preview ialah model berasingan yang lebih berkemampuan. Claude Opus 4.6 dan Sonnet 4.6 kekal tersedia melalui API Anthropic dan produk pengguna. Projek Glasswing secara khusus menggunakan Mythos Preview untuk keupayaan keselamatan sibernya yang unggul.
Bagaimanakah perbandingan Mythos Preview dengan model lain dalam tugas keselamatan siber?
Tiada model lain yang diketahui umum telah menunjukkan keupayaan untuk menemui dan mengeksploitasi kerentanan zero-day secara autonomi pada skala ini. Kad sistem tersebut menerangkan keupayaan yang mewakili, dalam kata-kata Anthropic, "lonjakan ketara" melampaui semua model terdahulu.
Adakah ini bermakna AI akan menggantikan penyelidik keselamatan manusia?
Tidak. Model tersebut menghasilkan laporan kerentanan dan eksploit bukti konsep, tetapi jurutera keselamatan manusia masih diperlukan untuk mengesahkan penemuan, membangunkan tampalan, menguji pembetulan, dan menyelaraskan pendedahan. Anggaplah ia sebagai pengganda kekuatan yang memperluaskan skop perkara yang boleh diliputi oleh pasukan keselamatan secara drastik.
Bagaimana pula dengan risiko model tersebut dicuri atau dibocorkan?
Ini adalah kebimbangan sah yang telah ditangani oleh Anthropic dalam kad sistem. Model penggunaan terhad — di mana organisasi rakan kongsi mengakses Mythos Preview melalui infrastruktur terkawal dan bukannya memuat turun pemberat model (model weights) — direka untuk meminimumkan risiko ini.
Kesimpulan
Projek Glasswing mewakili titik pusingan dalam bagaimana keupayaan AI frontier digunakan. Daripada pendekatan lalai — melancarkan secara meluas dan berurusan dengan akibat kemudian — Anthropic memilih penggunaan sasaran untuk misi defensif yang khusus.
Sama ada anda melihat ini sebagai tadbir urus AI yang bertanggungjawab atau preseden berbahaya di mana syarikat swasta menjadi penjaga pintu kepada teknologi berkuasa, hasilnya sukar untuk dipertikaikan: beribu-ribu kerentanan kritikal dalam perisian terpenting dunia telah ditemui dan memasuki saluran penampalan sebelum penyerang menemuinya.
Implikasi keselamatan siber adalah serta-merta. Implikasi tadbir urus akan mengambil masa bertahun-tahun untuk benar-benar difahami.
Di Y Build, kami menjejaki sempadan keupayaan AI dan bagaimana ia membentuk semula pembangunan perisian dan keselamatan. Walaupun Projek Glasswing menumpukan pada keselamatan siber, trend asas — model AI yang menjadi cukup berkemampuan untuk memerlukan penggunaan terhad — akan membentuk cara setiap pembina bekerja dengan AI pada tahun-tahun mendatang.
Sumber:
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Claude Mythos Preview System Card — red.anthropic.com
- Anthropic debuts preview of powerful new AI model Mythos — TechCrunch
- Anthropic says its most powerful AI cyber model is too dangerous to release — VentureBeat
- Simon Willison on Project Glasswing
- Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks — CNBC
- AISI evaluation of Claude Mythos Preview's cyber capabilities
- Anthropic caused panic that Mythos will expose cybersecurity weak spots — Fortune
- Introducing Project Glasswing — Linux Foundation
- The Vulnpocalypse: Why experts fear AI could tip the scales toward hackers — NBC News