Prosjekt Glasswing: Anthropics AI-cybersikkerhetsprogram (2026)

Q: Hva betyr "Glasswing"?

Navnet kommer fra glassvingesommerfuglen (*Greta oto*), hvis vinger er nesten gjennomsiktige. Metaforen er transparens — både i Anthropics tilnærming til å publisere det fulle systemkortet og i målet om å gjøre programvareinfrastruktur mer synlig og sikker.

TL;DR

Detalj	Prosjekt Glasswing
Hva	Anthropics defensive cybersikkerhetsinitiativ
Drevet av	Claude Mythos Preview — Anthropics mest kapable modell
Kjernefunksjonalitet	Oppdager og utnytter zero-day-sårbarheter autonomt
Omfang	Fant tusenvis av zero-days på tvers av alle store OS og nettlesere
Offentlig tilgang	Ingen — den første Anthropic-modellen som aldri slippes for generell tilgjengelighet
Partnere	AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation
Økonomisk forpliktelse	100 millioner dollar i brukskreditter + 4 millioner dollar i donasjoner til åpen kildekode-sikkerhet
Annonsert	7. april 2026

Hva er Prosjekt Glasswing?

Prosjekt Glasswing er Anthropics initiativ for å bruke AI til å identifisere og fikse uoppdagede cybersikkerhetssårbarheter i kritisk programvare — i en skala ingen menneskelige team kan matche.

Prosjektet er oppkalt etter glassvingesommerfuglen (kjent for sine gjennomsiktige vinger, som symboliserer transparens i sikkerhet), og er bygget på Claude Mythos Preview, en frontier-modell som Anthropic anser som for kraftfull for offentlig lansering.

Premisset er enkelt: hvis neste generasjons AI-modeller kan finne og utnytte sikkerhetshull autonomt, trenger forsvarere tilgang til de samme kapabilitetene før angripere bygger sine egne. I stedet for å slippe Mythos Preview løs på verden og håpe på det beste, valgte Anthropic å rulle den ut som et defensivt verktøy for organisasjoner som vedlikeholder programvaren verden er avhengig av.

Dette gjør Prosjekt Glasswing til et program av sitt slag — et AI-selskap som bevisst begrenser tilgangen til sin mest avanserte modell og kanaliserer dens evner mot et spesifikt defensivt oppdrag.

Hvorfor eksisterer Prosjekt Glasswing?

Under intern testing oppdaget Anthropic at Claude Mythos Preview kunne gjøre noe ingen tidligere AI-modell hadde demonstrert: autonomt oppdage og utnytte zero-day-sårbarheter i reell produksjonsprogramvare.

Fra det 244-siders systemkortet publisert 7. april 2026:

"Claude Mythos Preview demonstrerte et slående sprang i cyber-kapasiteter sammenlignet med tidligere modeller, inkludert evnen til autonomt å oppdage og utnytte zero-day-sårbarheter i store operativsystemer og nettlesere."

Nøkkelordet er "autonomt". Tidligere AI-modeller kunne bistå med sårbarhetsforskning når de ble ledet av eksperter. Mythos Preview kan kjøre hele prosessen selv — lese kildekode, danne hypoteser om potensielle feil, skrive proof-of-concept-eksploits og produsere komplette feilrapporter med reproduksjonstrinn.

Anthropic innså at hvis deres modell kunne gjøre dette, var det bare et tidsspørsmål før lignende evner dukket opp andre steder. Spørsmålet ble: gir vi forsvarerne et forsprang, eller venter vi og håper?

De valgte forspranget.

De cyber-tekniske evnene: Hva Mythos Preview faktisk kan gjøre

Resultatene fra Anthropics testing er bemerkelsesverdige i både bredde og dybde.

Tusenvis av zero-days på tvers av kritisk infrastruktur

I løpet av noen uker identifiserte Claude Mythos Preview tusenvis av tidligere ukjente sårbarheter — mange vurdert som kritiske — i:

Alle store operativsystemer (Windows, macOS, Linux, FreeBSD, OpenBSD)
Alle store nettlesere (Chrome, Firefox, Safari, Edge)
Andre kritiske infrastrukturkomponenter for programvare

Over 99 % av de oppdagede sårbarhetene er ennå ikke rettet, og det er grunnen til at Anthropic kun har avslørt et fåtall spesifikke eksempler.

Spesifikke offentliggjorte sårbarheter

Blant feilene som er rettet og kan diskuteres offentlig:

CVE-2026-4747 — En 17 år gammel sårbarhet for fjernkjøring av kode i FreeBSD. Feilen fantes i NFS-implementeringen og tillot en uautentisert angriper fra hvor som helst på internett å få root-tilgang. Mythos Preview fant den og bygde en fungerende eksploit helt autonomt.

En 27 år gammel feil i OpenBSD — bemerkelsesverdig fordi OpenBSD er et system hvis hele identitet er bygget rundt sikkerhet. Dette er den eldste sårbarheten modellen oppdaget.

En 16 år gammel sårbarhet i FFmpegs H.264-kodek — noe som påvirker et av de mest utbredte multimedia-bibliotekene i verden.

Avansert utvikling av eksploits

Mythos Preview finner ikke bare feil. Den kjeder dem sammen i sofistikerte angrepssekvenser:

I ett tilfelle skrev den en nettleser-eksploit som kjedet sammen fire separate sårbarheter, inkludert en JIT-heap-spray som brøt ut av både renderer-sandkassen og OS-sandkassen.
Den utviklet autonomt lokale rettighetseskalerings-eksploits på Linux ved å utnytte subtile race-conditions og KASLR-omgåelser.
Den genererer komplette proof-of-concept-eksploits med reproduksjonstrinn, formatert som profesjonelle feilrapporter klare for utviklernes prioritering.

Hvordan det fungerer teknisk

Anthropic kjører Mythos Preview gjennom Claude Code — deres agentbaserte kodingmiljø. Modellen blir instruert om å finne sikkerhetssårbarheter, og deretter utfører den agentoppgaver:

Leser kildekode for å forstå angrepsflaten
Lager hypoteser om potensielle sårbarheter basert på kodemønstre
Skriver testmiljøer og eksploit-kode for å bekrefte hypotesene
Produserer strukturerte feilrapporter med fungerende proof-of-concept-eksploits

Prosessen er autonom fra start til slutt. Ingen mennesker trenger å lede den gjennom de enkelte trinnene.

Hvem er partnerne?

Prosjekt Glasswing ble lansert med 12 grunnleggende partnere og har siden utvidet til over 40 organisasjoner.

Grunnleggende partnere

Organisasjon	Rolle
Amazon Web Services	Leverandør av skyinfrastruktur
Apple	OS- og nettleserleverandør
Broadcom	Halvleder- og infrastrukturprogramvare
Cisco	Nettverks- og sikkerhetsinfrastruktur
CrowdStrike	Plattform for endepunktssikkerhet
Google	OS-, nettleser- og skyleverandør
JPMorgan Chase	Finansiell infrastruktur
Linux Foundation	Forvalter av økosystemet for åpen kildekode
Microsoft	OS-, nettleser- og skyleverandør
NVIDIA	GPU- og AI-infrastruktur
Palo Alto Networks	Nettverks- og skysikkerhet

Partnerlisten er bemerkelsesverdig for sin bredde. Den spenner over operativsystemleverandører (Apple, Microsoft, Google), sky-leverandører (AWS, Google, Microsoft), sikkerhetsselskaper (CrowdStrike, Palo Alto Networks), finansiell infrastruktur (JPMorgan Chase) og åpen kildekode-økosystemet (Linux Foundation).

Finansiering av åpen kildekode

Anthropic forpliktet seg til 4 millioner dollar i direkte donasjoner til sikkerhetsorganisasjoner for åpen kildekode:

2,5 millioner dollar til Alpha-Omega og OpenSSF gjennom Linux Foundation
1,5 millioner dollar til Apache Software Foundation

Dette er viktig fordi mye av verdens kritiske programvareinfrastruktur er åpen kildekode, vedlikeholdt av små team med begrensede sikkerhetsbudsjetter. Finansieringen hjelper disse organisasjonene med å agere på sårbarhetene Mythos Preview finner.

Forpliktelsen på 100 millioner dollar

Anthropic forplikter inntil 100 millioner dollar i brukskreditter for Mythos Preview på tvers av Prosjekt Glasswing.

Dette tallet gjenspeiler den beregningsintensive karakteren til autonom sårbarhetsoppdagelse. Å kjøre Mythos Preview over millioner av linjer med kode i alle store programvareprosjekter er kostbart. Ved å tilby kreditter i stedet for å fakturere partnere, fjerner Anthropic kostnadsbarrieren som ellers ville forsinket det defensive arbeidet.

Til sammenligning representerer 100 millioner dollar i kreditter sannsynligvis titusenvis av GPU-timer dedikert utelukkende til å finne og dokumentere sikkerhetsfeil før angripere kan utnytte dem.

Hvorfor ikke lansere modellen offentlig?

Dette er spørsmålet alle stiller. Anthropics begrunnelse har tre lag:

1. Dual-use-risikoen er ekstrem. Den nøyaktige evnen som gjør Mythos Preview verdifull for forsvar — autonomt å finne og utnytte zero-days — ville gjort den like verdifull for angrep. Å slippe den offentlig ville gitt alle angripere i verden tilgang til et verktøy som kan finne utnyttbare sårbarheter raskere enn noe menneskelig team kan fikse dem. 2. Asymmetrien favoriserer angripere. Angripere trenger å finne én sårbarhet. Forsvarere må tette alle. En offentlig tilgjengelig AI for sårbarhetssøk ville tippet denne asymmetrien ytterligere i angripernes favør, selv om forsvarerne også hadde tilgang. 3. Kontrollert utrulling fungerer. Ved å begrense tilgangen til organisasjoner som vedlikeholder kritisk infrastruktur, sikrer Anthropic at modellens output går direkte inn i utbedringskjeden. Sårbarheter blir funnet, rapportert gjennom koordinert offentliggjøring og fikset — uten at eksploit-kode lekker ut i det fri.

Dette gjør Claude Mythos Preview til den første Anthropic-modellen som aldri er sluppet for generell tilgjengelighet. Systemkortet ble publisert i sin helhet (alle 244 sider), men selve modellen forblir restriktiv.

Bransjereaksjoner og bekymringer

Prosjekt Glasswing har tiltrukket seg betydelig oppmerksomhet på tvers av teknologi- og politikkfeltet.

Positiv mottakelse

Sikkerhetsforskere og bransjeledere har generelt rost initiativet. Simon Willison bemerket at det å begrense Mythos til sikkerhetsforskere "høres nødvendig ut" gitt kapabilitetene som beskrives. Initiativet ble diskutert mellom sentralbanksjef Powell, finansminister Bessent og ledere for store amerikanske banker, ifølge CNBC, noe som gjenspeiler den systemiske betydningen av AI-drevet sårbarhetsoppdagelse.

Skeptisisme og bekymringer

Ikke alle er overbevist. Noen bransjeveteraner argumenterer for at det å finne sårbarheter aldri har vært flaskehalsen — det virkelige problemet er å få organisasjoner til å faktisk fikse dem. Som Fortune rapporterte, forblir gapet mellom oppdagelse og utbedring det svakeste leddet i sikkerhetskjeden.

Andre bekymrer seg for presedensen ved at et AI-selskap bestemmer hvilke organisasjoner som får tilgang til kraftfulle kapabiliteter og hvilke som ikke får det. Storbritannias AI Safety Institute (AISI) publiserte sin egen evaluering av Mythos Previews cyber-kapasiteter, og ga en uavhengig vurdering av påstandene.

Hva skjer videre?

Er dette den nye normalen for frontier-AI?

Sannsynligvis ja. Etter hvert som AI-modeller blir mer kapable, vil praksisen med å begrense tilgangen til modeller med ekstreme dual-use-egenskaper sannsynligvis bli standard. Prosjekt Glasswing er en mal for hvordan dette kan fungere: publiser systemkortet transparent, begrens selve modellen, og kanaliser evnene mot forsvar.

Vil andre AI-selskaper følge etter?

OpenAI forfølger allerede sine egne cybersikkerhetsinitiativer, noe som skaper det Crypto News beskrev som et "kappløp" mellom AI-selskaper om defensive cyber-kapabiliteter.

Når vil sårbarhetene bli offentliggjort?

Anthropic følger standard prosesser for koordinert sårbarhetsavsløring. Etter hvert som oppdateringer slippes av berørte leverandører, vil de tilsvarende sårbarhetsdetaljene bli offentlige. Gitt volumet — tusenvis av zero-days — vil denne prosessen ta måneder eller lenger.

Ofte stilte spørsmål

Hva betyr "Glasswing"?

Navnet kommer fra glassvingesommerfuglen (Greta oto), hvis vinger er nesten gjennomsiktige. Metaforen er transparens — både i Anthropics tilnærming til å publisere det fulle systemkortet og i målet om å gjøre programvareinfrastruktur mer synlig og sikker.

Kan jeg bruke Claude Mythos Preview?

Ikke med mindre du jobber i en av de over 40 partnerorganisasjonene i Prosjekt Glasswing-konsortiet. Anthropic har ingen annonserte planer om å slippe Mythos Preview for generell tilgjengelighet.

Er Prosjekt Glasswing relatert til Claude Opus 4.6 eller Claude Sonnet?

Nei. Mythos Preview er en separat, mer kapabel modell. Claude Opus 4.6 og Sonnet 4.6 forblir tilgjengelige gjennom Anthropics API og forbrukerprodukter. Prosjekt Glasswing bruker spesifikt Mythos Preview for dens overlegne cybersikkerhetsegenskaper.

Hvordan sammenlignes Mythos Preview med andre modeller på cybersikkerhetsoppgaver?

Ingen annen offentlig kjent modell har demonstrert evnen til autonomt å oppdage og utnytte zero-day-sårbarheter i denne skalaen. Systemkortet beskriver kapabiliteter som representerer, med Anthropics ord, et "slående sprang" forbi alle tidligere modeller.

Betyr dette at AI vil erstatte menneskelige sikkerhetsforskere?

Nei. Modellen produserer sårbarhetsrapporter og proof-of-concept-eksploits, men menneskelige sikkerhetsingeniører trengs fortsatt for å validere funn, utvikle rettelser, teste løsninger og koordinere offentliggjøring. Tenk på det som en kraftmultiplikator som dramatisk utvider omfanget av hva et sikkerhetsteam kan dekke.

Hva med risikoen for at modellen blir stjålet eller lekket?

Dette er en legitim bekymring som Anthropic har adressert i systemkortet. Den begrensede utrullingsmodellen — der partnerorganisasjoner får tilgang til Mythos Preview gjennom kontrollert infrastruktur i stedet for å laste ned modellvektene — er designet for å minimere denne risikoen.

Konklusjon

Prosjekt Glasswing representerer et vendepunkt i hvordan frontier-AI-kapabiliteter rulles ut. I stedet for standardtilnærmingen — slipp bredt og håndter konsekvensene senere — valgte Anthropic målrettet utrulling for et spesifikt defensivt oppdrag.

Enten du ser på dette som ansvarlig AI-styring eller en farlig presedens der et privat selskap fungerer som portvokter for kraftfull teknologi, er resultatene vanskelige å argumentere mot: tusenvis av kritiske sårbarheter i verdens viktigste programvare, oppdaget og sendt til utbedring før angripere fant dem.

Cybersikkerhetsimplikasjonene er umiddelbare. Styringsimplikasjonene vil ta år å utspille seg fullstendig.

Hos Y Build følger vi frontlinjen for AI-kapabiliteter og hvordan de omformer programvareutvikling og sikkerhet. Mens Prosjekt Glasswing fokuserer på cybersikkerhet, vil den underliggende trenden — at AI-modeller blir kapable nok til å kreve begrenset utrulling — forme hvordan alle utviklere jobber med AI i årene som kommer.

Kilder: