Claude Mythos åbnede Pandoras æske. Projekt Glasswing kæmper for at lukke den.

Artikelopdateringer:

Tillæg 28. maj 2026: Microsofts MDASH signalerer fremkomsten af ​​AI-sikkerhedssværme

Få uger efter at Anthropics Claude Mythos Preview demonstrerede autonome cybersikkerhedsfunktioner, der vakte opsigt i hele branchen, introducerede Microsoft MDASH, et AI-drevet system til opdagelse af sårbarheder, der øger indsatsen yderligere.

I modsætning til Claude Mythos Previews enkeltmodelarkitektur bruger MDASH angiveligt mere end 100 specialiserede AI-agenter, der arbejder sammen i en orkestreret pipeline. CyberGym AI-sikkerhedsbenchmarkMDASH leverede overlegen præstation, og det resultat sender et klart signal. Fremtiden for offensiv og defensiv cybersikkerhed tilhører koordinerede AI-agent-sværme, ikke uafhængige grænsemodeller.

Pr. 28. maj 2026

Denne udvikling forstærker kernebudskabet i Project Glasswing. Cybersikkerhedsbranchen bevæger sig mod autonome AI-systemer, der er i stand til at opdage, teste, prioritere og potentielt udnytte sårbarheder med maskinhastighed. Det er ikke længere en hypotetisk fremtid.

Lærdommen her er ikke, at Microsoft slog Anthropic. Lærdommen er, at den konkurrencemæssige kløft mellem store AI-leverandører hurtigt vil blive mindre, efterhånden som multi-agent orkestreringsrammer bliver standardiserede på tværs af branchen.

Organisationer skal forberede sig nu inden:

1. Accelerer patching: aktiver samme-dags eller automatiske opdateringer for at mindske angrebsvinduet.
2. Reducer angrebsfladenFjern så mange internetvendte porte, IP-adresser og indgangspunkter som muligt.
3. Segmentér interne netværkAntag, at der vil ske brud. Opdel dit netværk i sektioner, fjern unødvendige forbindelser, og byg isolerede zoner, så ét kompromitteret område ikke bliver til total adgang.
4. Hærd software med AI-scanningsløsninger Værktøjer som MDASH, Mythos og GPT 5.5 er tilgængelige for forsvarere. Brug dem, før angribere bruger dem mod dig.
5. Begræns eksponering for livedataArkivér dokumenter, du ikke længere aktivt har brug for, til offlinelagring. Livedata, der ligger på dit interne netværk, er en unødvendig byrde. Alt for mange virksomheder har været nødt til at kontakte 25 års tidligere kunder efter et brud. Vær ikke en af ​​dem.
6. Opbyg medarbejderes modstandsdygtighedHåndhæv stærk adgangskodehygiejne, lær medarbejdere at genkende phishingforsøg og udrul MFA, adgangsnøglerog Password Managers på tværs af din organisation.
7. Implementer HoneyPots til tidlig detektion: Thinkst Canary og lignende værktøjer giver dig tidlig advarsel, når noget uautoriseret bevæger sig inden for dit netværk.
8. Håndtering af tredjepartsrisiko: Spørg dine kritiske leverandører i dag, om de bruger AI-sårbarhedsscanning til at være foran angribere, der allerede bruger disse værktøjer imod dem.
9. Byg og test din hændelsesplanDokumentér, hvem der gør hvad i de første 24 timer efter et brud, og kør derefter en bordøvelse med dit team mindst én gang om året. En øvet plan reducerer genopretningstiden dramatisk. En improviseret plan koster dig dage, du ikke har. Håndhæv mindst
10. Privilegeret adgangFjern administratorrettigheder fra alle, der ikke kræver dem til at udføre deres arbejde, og revidér alle privilegerede konti kvartalsvis. Enhver unødvendig administratorkonto er en åben dør, som angribere ikke behøver at vælge imellem.
11. Test dine sikkerhedskopierFølg 3-2-1-reglen, tre kopier af kritiske data på to forskellige medietyper, hvoraf den ene er gemt offline eller eksternt, og gendan fra disse sikkerhedskopier efter planen. En sikkerhedskopi, du aldrig har testet, er en sikkerhedskopi, du ikke kan stole på, når det gælder mest.
12. Gennemgå din cyberforsikringBekræft, at din nuværende politik dækker ransomware, driftsafbrydelser og omkostninger til anmeldelse af brud, og verificer derefter, at din faktiske sikkerhedstilstand opfylder politikkravene. Mange SMB-politikker inkluderer dækningsbetingelser omkring MFA og patching, der ugyldiggør krav, når de ikke overholdes.

Kapløbet handler ikke længere kun om at bygge smartere AI-modeller. Det handler om at bygge autonome systemer af AI-agenter, der samarbejder, tilpasser sig og handler uafhængigt. Den gode nyhed for forsvarere er, at de samme værktøjer nu findes på jeres side af bordet. Organisationer, der begynder at forberede sig i dag, vil være i en langt stærkere position end dem, der venter på, at et brud skal tvinge dem til at gribe ind.

Cybersikkerhed har ændret sig for altid. Er du klar?

Opdatering fra Projekt Glasswing den 26. maj 2026:

"Fremskridt inden for softwaresikkerhed plejede at være begrænset af, hvor hurtigt vi kunne finde nye sårbarheder. Nu er det begrænset af, hvor hurtigt vi kan verificere, offentliggøre og lappe det store antal sårbarheder fundet af AI.”

Antallet af sårbarheder, som Mythos identificerede under scanningen af ​​cirka 50 partneres softwareløsninger, oversteg 10,000+ høje og kritiske problemer. Mythos leverede sandsynligvis veldokumenterede fejl, kombineret med proof of concept-kode og endda forslag til rettelser.

Separat har Anthropic også kørt Mythos Preview mod mere end 1,000 open source-projekter, der tilsammen understøtter en stor del af internettets kerneinfrastruktur. Denne scanning har allerede identificeret 6,202 sårbarheder med høj eller kritisk alvorlighed ud af over 23,000 fundne problemer i alt. Fordi så meget kommerciel og virksomhedssoftware er bygget oven på disse open source-fundamenter, er patchbølgen ikke begrænset til dine direkte leverandører. Gennemgå din softwareliste nu, og hold nøje øje med opdateringer af upstream-afhængigheder i de kommende uger og måneder.
Forvent at få opdateret en stor del af din softwarestak meget snart. Kilde: https://www.anthropic.com/research/glasswing-initial-update?

Artikelopdateringer fra 19. maj: Dataopbevaring har en direkte indflydelse på, hvor smertefuldt et brud bliver. En virksomhed, der opbevarer klientfiler i 25 år, står over for en langt større anmeldelsesbyrde efter et brud end en, der kun opbevarer fem år. Færre registre online betyder færre personer at underrette, lavere juridisk eksponering og kortere genopretningstid. Cyberforsikringsselskaber bemærker dette også. Virksomheder med et mere magert datafodaftryk betaler ofte lavere præmier, fordi de repræsenterer mindre risiko. At gennemgå, hvor længe klientregistre forbliver på dit interne netværk, er et billigt skridt med reel økonomisk fordel, både før og efter en hændelse.

Opdateringer til denne artikel den 6. maj:

• Fra den 6. maj 2026 deler alle større amerikanske AI-laboratorier, herunder Google DeepMind, Microsoft, xAI, Anthropic og OpenAI, nu frivilligt uudgivne modeller med den føderale regering (CAISI, Center for AI-standarder og innovation) til sikkerheds- og kapacitetsgennemgange, før disse modeller når offentligheden.
• Disse frivillige aftaler kom dagen efter, at New York Times rapporterede, at Trump-administrationen overvejede en separat obligatorisk gennemgangsproces før udsendelse via en bekendtgørelse, med Antropikernes Mythos-model citeret som katalysatorDen frivillige og eventuelle obligatoriske ramme ville køre parallelt, selvom deres samspil stadig er udefineret.
• Ved at samarbejde med CAISI er virksomheder med til at definere, hvad "sikker AI" er på nationalt sikkerhedsniveau, hvilket har kommercielle effekter i fremtiden.
• Bottom Line: Dit cybersikkerhedsprograms forsvar må ikke vente på morgendagens trusler (myter osv.) med at handle. De AI-værktøjer, som angribere bruger i dag, er allerede dygtige nok til at kræve din opmærksomhed.

En praktisk briefing for vCISO'er

ADVARSELEN VI IGNOREREDE ELLER IKKE KUNNE FORSTÅ

I årevis har de mest troværdige stemmer inden for AI-forskning udstedt den samme advarsel. Behandl kunstig intelligens med den samme institutionelle alvor, som verden anvendte atomteknologi. Warren Buffet udtrykte det klart på Berkshire Hathaways aktionærmøde i 2024:

"Vi lod en ånd komme ud af flasken, da vi udviklede atomvåben. Kunstig intelligens minder noget om det – den er delvist ude af flasken.." Kilde: CNN Business, maj 2024

Hvis du er ligesom mig, givet alvoren i de mennesker, der advarer os (Stephen Hawking, Geoffrey Hinton, Bill Gates), prøvede vi at forstå disse advarsler. Desværre føltes advarslerne for de fleste af os abstrakte og umulige at begribe. De potentielle forstyrrelser virkede fjerne, dunkle og tættere på science fiction end virkelighed. Ånden var stadig i flasken, og Pandoras æske var stadig solidt lukket.

Den 7. april 2026 afslørede Anthropic kortvarigt en AI-model kaldet Claude Mythos preview. Det, de fandt i den, bekymrede dem nok til at lukke den for offentligheden og begrænse adgangen til en kurateret koalition af udbydere af kritisk softwareinfrastruktur. Håbet var at komme foran, hvad denne model repræsenterer, før modstandere gør det samme.

HVAD ANTROPISK FUNDET, OG HVORFOR DE LÅSTE DET NED

Anthropic afslørede, at Claude Mythos fandt kritiske softwaresårbarheder, kendt som zero-days, i alle større operativsystemer og browsere de pegede på den. Så lukkede Anthropic æsken og nægtede at frigive den offentligt. I stedet samlede de en koalition kaldet Projekt Glasvinge, hvilket tiltrak omkring 40 til 50 af verdens største softwareinfrastrukturudbydere, herunder Microsoft, Google, Apple, Amazon, Cisco og CrowdStrike. Målet var at bruge Mythos til at finde og rette sårbarheder, før modstandere kunne udnytte dem som våben.

Resultaterne var betydelige. Mythos identificerede en 27 år gammel sårbarhed i OpenBSD, et operativsystem designet og vedligeholdt med sikkerhed som sin primære værdi, som årtiers menneskelige ekspertrevisioner fuldstændigt havde overset. Beregningsomkostningerne for at finde den var cirka $50. Mythos opnåede et fungerende exploit i første forsøg i over 83 procent af testtilfældene. Til sammenligning producerede Anthropics tidligere offentlige model 2 succesfulde exploits på tværs af den samme testsuite. Mythos producerede 181.

Under intern testning opfordrede Anthropic Mythos til at finde en måde at undslippe sin sandkasse på. Det gjorde detForskeren hørte om det ved at modtage en uventet e-mail fra modellen, mens han var væk fra kontoret. Modellen offentliggjorde derefter detaljer om sit eget angreb på flere offentlige websteder uden at blive bedt om det. Dette er et dokumenteret testresultat fra Anthropics egen sikkerhedsproces, ikke et teoretisk scenarie.

Udfordringen med at inddæmme teknologien rækker ud over denne ene model. Offentlig rapportering antyder, at Claude Mythos repræsenterer en afgørende ændring i kapacitet snarere end en gradvis forbedring. I test identificerede den sårbarheder i en skala, der anslås at være 10 til 100 gange større end for elite menneskelige teams, og konkurrerende modeller fra andre store laboratorier beskrives stadig som værende bagud i avancerede cybersikkerhedsopgaver. AI udvikler sig hurtigt, og det er uundgåeligt, at andre leverandørmodeller vil indhente det forsømte.

Husk også, at Anthropic oplevede to separate utilsigtede eksponeringer af interne filer i løbet af de sidste to måneder, inklusive detaljer om Mythos selv, på grund af menneskelige fejl i deres egne systemer. Den samme organisation, der bygger den mest kapable AI til at opdage sårbarheder på planeten, efterlod sit eget indholdsstyringssystem usikret og samlede intern kildekode i en offentlig softwareopdatering. Dette er vigtigt, fordi når et værktøj som Mythos når fjendtlige hænder, kopierer det uden marginalomkostninger. Nationalstater med eksisterende offensive cyberprogrammer og ingen interesse i ansvarlig afsløring vil ikke tøve med at danne deres egne koalitioner med meget forskellige dagsordener.

ASYMMETRIPROBLEMET

Alle større sikkerhedsrammer, der er bygget op i løbet af de sidste tre årtier, hviler på en fælles antagelse: Forsvarere har den strukturelle fordel af højere terræn og bedre synlighed i omverdenen. Forsvarere ejer kildekoden, arkitekturen, segmenteringen og identitetskontrollerne. Denne høje terræn er ikke forsvundet, men Mythos-klassen AI behøver ikke at overtage den. Når opdagelse af sårbarheder koster $50 og tager timer i stedet for måneder, behøver angriberen ikke længere en overlegen position.

Project Glasswing dækker 40 til 50 organisationer. Det globale softwareøkosystem indeholder hundredvis af millioner af implementeringer, fra Fortune 500-infrastruktur til den brugerdefinerede forretningsapplikation, som din klient byggede i 2017, som ingen har gennemgået siden. Mythos-klassen AI vil først hærde de største og bedst ressourcefulde platforme, fordi det er dem, der er inden for koalitionen. Alt uden for denne perimeter, hvilket er næsten alt, hvad dine klienter er afhængige af dagligt, forbliver eksponeret i det øjeblik, hvor angribere får evnen til at finde og bevæbne sårbarheder hurtigere end forsvarere og de fleste softwareleverandører kan reagere.

Ansvarlig offentliggørelse fungerer, når sårbarheder dukker op én ad gangen, rapporteres til en leverandør og rettes inden for en rimelig tidsramme. Mythos fandt tusindvis af kritiske sårbarheder på få uger, autonomt, på tværs af alle større operativsystemer og browsere samtidigt. Offentliggørelsespipelinen var ikke designet til den mængde. Leverandører, der modtager ansvarlige offentliggørelsesmeddelelser for snesevis af kritiske fejl på én gang, står over for triage-beslutninger, de aldrig har truffet før, med en teknisk kapacitet, der ikke er skaleret til at matche opdagelsesraten.

Der er én meningsfuld fordel. Selvom Mythos finder sårbarheder, foreslår den også rettelser til dem. For organisationer inden for Glasswing har den samme AI, der fandt hundredvis af problemer, også givet ingeniørerne en løsning. Det er en reel accelerator for de 40 til 50 organisationer. For alle andre går tiden uden den fordel.

Dine kunder sidder i en negativ balance mellem alt dette. De SaaS-værktøjer, de bruger dagligt, cloudplatformene, der kører deres data, og de browsere, deres medarbejdere åbner hver morgen – alle bærer de sårbarheder, som modstandere måske kender til, før leverandøren har haft tid til at rette dem.

Hold øje med et tidligt tegn på, at Mythos-klassen er nået ud til fjendtlige hænder: en usædvanlig stigning i zero-day-afsløringer på tværs af flere leverandører i et kort vindue, hvilket især påvirker operativsystemer, browsere og bredt implementerede SaaS-platforme samtidigt. Dette mønster, mere end nogen enkelt overskrift, er kanariefuglen. Når du ser det, vil spørgsmålet om spredning have besvaret sig selv.

EN NULDAGSØKONOMI HAR ÆNDRET SIG

Historisk set har det krævet elite menneskeligt talent, betydelig tid og dyb specialisering at finde en ægte zero-day-løsning. Denne mangel skabte et begrænset og dyrt marked. Nationalstater betalte titusindvis af dollars for pålidelige zero-day-løsninger. Kriminelle grupper oplagrede dem omhyggeligt, fordi de var dyre at anskaffe og værdifulde at bevare. NSA, GRU og tilsvarende agenturer behandlede deres zero-day-beholdninger som strategiske aktiver og anvendte dem selektivt for at undgå at brænde kapaciteter af for tidligt.

Den økonomiske struktur hvilede på én antagelse: opdagelser var vanskelige. Claude Mythos har afsluttet den præmis.

Når opdagelsesomkostningerne nærmer sig nul, vil antallet af exploits i omløb eksplodere. Nye modstandere, der tidligere manglede talentet eller ressourcerne til at deltage i offensive operationer, har nu en måde at opnå begge dele på. Kriminelle grupper, der tidligere rationerede deres zero-days, fordi anskaffelse var dyrt, står ikke længere over for denne begrænsning. Nationalstater, der kun manglede exploits at brænde, har nu så mange, som de har brug for. Adgangsbarrieren for sofistikerede angreb er faldet med størrelsesordener, og den vil ikke blive nulstillet.

DEN REGULERINGSMATERIELLE VIRKELIGHED

Det ærlige svar på, om international regulering vil inddæmme denne trussel, er: ikke i tide og ikke i omfattende grad. Det er ikke kynisme. Det er det dokumenterede mønster for enhver større udfordring inden for forvaltning af dobbelt anvendelsesteknologi i moderne historie.

Kryptografipolitikken forsinkede implementeringen med et årti, hvor kryptering blev behandlet som ammunition under våbeneksportkontrol langt ind i 1990'erne, mens det kommercielle internet allerede blev bygget op omkring det. Sociale mediers skadevirkninger for en generation af unge mennesker bliver først nu adresseret i lovgivningen, længe efter skaden var sketTraktater om autonome våben forblive ufuldstændig på trods af et årtis FN-forhandlinger, hvor stormagter blokerede bindende aftaler, mens de implementerede de systemer, der var under diskussion. I begge tilfælde bevægede teknologien sig hurtigere end de institutioner, der var designet til at styre den. Med AI-sprogmodeller er accelerationen endnu skarpere, hvilket komprimerer den tid, der er til rådighed til at vurdere, forsvare sig mod og tilpasse sig risici, før de materialiserer sig i stor skala.

EU's AI-lovgivning omhandler risikoklassificering og krav til gennemsigtighed. Den skaber ikke en meningsfuld international ramme for at kontrollere spredningen af ​​offensive kapaciteter af Mythos-klassen. USA har bekendtgørelser og frivillige forpligtelser fra store AI-udviklere. Frivillige forpligtelser binder ikke udviklere, der vælger ikke at deltage, og de binder ikke modstandere, der erhverver kapaciteten på andre måder.

Anthropic trak to etiske linjer, der er værd at bemærke. De nægtede at tillade deres Claude-modeller i fuldt autonome våbensystemer, og de nægtede at tillade masseovervågning af amerikanske borgere i USA. Anthropics administrerende direktør Dario Amodi udtalte, at brugen af ​​AI til masseovervågning indenlandsk ville være "uforenelig med demokratiske værdier", og at nutidens AI-modeller i frontlinjen "simpelthen ikke er pålidelige nok" til fuldt autonome våben. Pentagons svar var at etiket Antropisk en forsyningskæderisiko i begyndelsen af ​​marts, en betegnelse der historisk set var forbeholdt udenlandske modstandere, ikke amerikanske virksomheder, der var uenige i regeringens politik. Anthropic sagsøgte, og en føderal dommer i Californien udstedt et foreløbigt påbud i slutningen af ​​marts, hvor han skrev, at regeringen ikke havde noget lovmæssigt grundlag for at stemple et amerikansk firma som en national sikkerhedstrussel for at være uenig i politikken. Den 8. april besluttede DC Circuit Court of Appeals afviste at sætte betegnelsen på pause mens retssagen fortsætter, forbliver etiketten uændret med mundtlige forhandlinger planlagt til den 19. maj. Virksomheden, der valgte at låse den mest kapable AI til opsporing af sårbarheder væk, der nogensinde er bygget, kæmper nu mod sin egen regering i to føderale domstole for at have sikkerhedsstandarder.

Ansvarlige aktører, der begrænser sig selv, køber tid. Det køber ikke permanent sikkerhed. Det regulatoriske miljø, dine klienter vil operere i de næste mange år, er et, hvor de mest kraftfulde offensive AI-værktøjer nominelt kontrolleres, praktisk talt spredes og styres af rammer designet til et langsommere trusselsmiljø.

For at øge presset er de virksomheder, der udvikler disse modeller, ikke godt positioneret til at forsvare sig mod de nationalstater, der er mest motiverede til at stjæle dem. Anthropic, OpenAI og deres konkurrenter er softwarevirksomheder med stærke ingeniørkulturer og voksende sikkerhedsteams. De er ikke efterretningstjenester. De samme nationalstater, der med succes har stjålet atomhemmeligheder, intellektuel ejendom tilhørende forsvarsleverandører og klassificerede regeringsfiler i løbet af de sidste to årtier, har nu et enkelt og oplagt mål. En model som Mythos kræver, når den først er stjålet, ingen produktion, ingen forsyningskæde og ingen yderligere udviklingsomkostninger. Den kopierer øjeblikkeligt og fungerer i stor skala fra det øjeblik, den lander i fjendtlige hænder. Spørgsmålet om, hvorvidt disse virksomheder kan forsvare deres kronjuveler mod en tålmodig, ressourcestærk nationalstatslig aktør, er et spørgsmål, som branchen ikke har besvaret overbevisende.

NATIONSTATSDIMENSIONEN

Iran, Kina, Rusland og Nordkorea opererer alle sofistikerede offensive cyberprogrammer. De opretholder zero-day-lagre og har demonstreret viljen og evnen til at udføre destruktive angreb mod civil infrastruktur på tværs af adskillige offentlige anklager, tilskrivningsrapporter og analyser efter hændelser.

Mythos giver ikke disse aktører noget, de konceptuelt manglede. Når de først er opnået, hvad enten det er gennem tyveri eller kommerciel adgang til Mythos-konkurrenter, der indhenter det forsømte, giver det dem skala, hastighed og en omkostningsstruktur, der fjerner de ressourcebegrænsninger, der tidligere begrænsede deres operationelle tempo.

Mål, der tidligere blev anset for at være for små eller for obskure til at retfærdiggøre investeringen, bliver økonomisk levedygtige, når opdagelse og våbenfremstilling næsten ikke koster noget. Dine mellemstore kunder, en regional producent, et sundhedsnetværk, en finansiel virksomhed med 200 ansatte, har historisk set haft gavn af en form for sikkerhed gennem obskuritet. Ikke fordi deres forsvar var stærkt, men fordi det at kompromittere dem krævede en indsats, der kunne bruges bedre på mål med højere værdi. Den kalkule ændrer sig, når værktøjer i Mythos-klassen gør kompromis billigt i stor skala.

Kritisk infrastruktur udgør den mest akutte risiko. Elnet, vandbehandlingssystemer, hospitalsnetværk og finansielle clearingsystemer kører alle software uden for Glasswing-koalitionen. Mange kører ældre kode, der ikke er blevet revideret i årevis, på infrastruktur, der aldrig er designet med moderne trusselsaktører i tankerne. En modstander med Mythos-klassekapacitet og ingen interesse i ansvarlig afsløring behøver ikke at vælge et enkelt mål af høj værdi. De scanner alt, finder alt og prioriterer senere.

Konceptet om gensidigt sikret ødelæggelse fungerede som et nukleart afskrækkelsemiddel, fordi begge sider forstod, at gengældelse var sikker og symmetrisk. Cyberkonflikter deler ikke disse egenskaber. Tilskrivning er vanskelig. Tærsklerne for gengældelse er uklare. Mange skadelige angreb er designet til at holde sig under tærsklen for væbnet konflikt.Offensiv kunstig intelligens af Mythos-klassen skaber en ny form for straffrihed for aktører, der er villige til at operere under gengældelsestærsklen, som beskriver de fleste nationalstatslige cyberoperationer, der udføres i dag.

HVAD HAR EGENTLIG ÆNDRET SIG

Adskillige længe eksisterende antagelser inden for virksomhedssikkerhed er nu operationelt upålidelige og værd at nævne direkte.

Antagelsen om, at perimeterforsvar giver meningsfuld beskyttelse, er blevet udfordret i årevis, og nultillidsarkitektur har været branchens svar. Det nye er den hastighed, hvormed perimetersårbarheder vil blive opdaget og gjort til et våben. Nultrust er fortsat den rette ramme. Det haster med at implementere det fuldt ud.

Antagelsen om, at compliance-rammer tilnærmelsesvis er tilstrækkelig sikkerhed, har altid været ufuldkommen. En klient, der gennemførte deres SOC 2-revision sidste kvartal og mener, at de er dækket, opererer ud fra en falsk følelse af sikkerhed. Compliance-rammer beskriver en basislinje, der er designet omkring et langsommere og dyrere trusselsmiljø.

Antagelsen om, at små og mellemstore organisationer er lavt prioriterede mål, fordi kompromis kræver investering, er brudt. Skala og omkostninger beskytter ikke længere ubemærkethed.

Antagelsen om, at software fra velrenommerede leverandører er rimelig sikker, fordi den har været i produktion i årevis og modstået ekspertgranskning, er brudt. En 27 år gammel OpenBSD-sårbarhed overlevede årtiers ekspertrevision. Mythos fandt den på få timer. Hvert stykke software, dine klienter kører, bærer den samme usikkerhed, uanset dets omdømme eller alder.

Antagelsen om, at patchhåndtering er en rutinemæssig operationel opgave snarere end en strategisk prioritet, skal udfases. Patchkadence er nu en risikostyringsbeslutning i frontlinjen.

STATUS QUO, DER IKKE LÆNGERE EKSISTERER

Det er værd at nævne tydeligt, hvad der har ændret sig, fordi sikkerhedsbranchen har en tendens til at absorbere nye trusler gradvist uden at stoppe op og sige: denne er anderledes.

SIX SYV HANDLINGER, DER SKAL PRIORITERES SAMMEN MED KLIENTER NU

1. Komprimér patch-cyklussen og gør den til en samtale på bestyrelsesniveau.
   
   Vinduet mellem en eksisterende sårbarhed og en angriber, der udnytter den som våben, er kollapset. Månedlige patches kan ikke længere forsvares. Ugentlige kadencer for kritiske systemer, automatiserede patches, hvor miljøer understøtter det, og en klart ejet proces for nødpatches uden for den normale cyklus er den nye basislinje. Sæt dette i ledelsens lys, som operationel risikostyring. Når værktøjer i Mythos-klassen finder en årtier gammel sårbarhed for halvtreds dollars og foreslår en fungerende udnyttelse i samme session, er en forsinket patch en beslutning om forretningskontinuitet, der ligger i IT-køen.
   
2. Revidér og reducer angrebsoverfladen med ny hastende karakter.
   
   Enhver eksponeret tjeneste, ældre applikation, glemt API og ikke-administreret endpoint er nu en belastning med en kortere levetid. Foretag en ny opgørelse med hver klient i dette kvartal. Prioriter eksternt vendte systemer først. En modstander med Mythos-klassefunktioner behøver ikke at vælge et mål. De scanner alt, finder alt og prioriterer senere. Efterlad ikke noget, der er let at finde.
   
3. Skift klientsamtalen fra perimeterforsvar til antagelse om brud.
   
   De organisationer, der er mest udsatte, er dem, der stadig opererer ud fra den overbevisning, at en stærk perimeter holder angribere ude. De klienter, der vil klare sig bedst, har investeret i identitetskontroller, adfærdsovervågning, arkitektur med mindst mulige rettigheder og afprøvede incidentresponsplaner. Formuler det enkelt for ledelsen: spørgsmålet er ikke længere, om et sofistikeret angreb når deres miljø. Spørgsmålet er, hvor meget skade det gør, når det ankommer, og hvor hurtigt de opdager og inddæmmer det. En afprøvet incidentresponsplan er ikke et compliance-dokument. Det er forskellen på et brud, der kan genoprettes, og et, der ikke kan genoprettes.
   
4. NYHED: Revider dataopbevaring og reducer målet, før et brud koster det for dig.
   
   Reducer dit dataaftryk ved at hjælpe dine kunder med at oprette og implementere en dataopbevaringspolitik. Hackere, der bruger Mythos-klassen, vil identificere, hvor mange data du har, og stjæle (eksfiltrere) dem. En klient, der lagrer 25 års data, kræver en meget større løsesum end en, der kun opbevarer fem år. Underretningsbyrden efter et brud skaleres direkte i forhold til eksponerede data. Det samme gælder juridisk ansvar og genoprettelsestid. Cyberforsikringsselskaber prissætter også dette. Mere effektive opbevaringspolitikker betyder lavere præmier og mindre konsekvenser for dine kunder i forbindelse med brud. Hjælp kunder med at definere en opbevaringsplan, der kun indeholder, hvad compliance eller forretningsbehov kræver, og intet mere. Data, der ikke eksisterer, kan ikke stjæles, løses eller videregives.
   
5. Bekæmp AI-drevne angreb med AI-drevet forsvar.
   
   Det samme kapacitetsskift, der gør Mythos farligt i angrebet, gælder også i forsvaret, og dine kunder skal være på den rigtige side af den ligning. AI-drevet endpoint-detektion, overvågning af adfærdsmæssige anomalier og automatiserede trusselsjagtværktøjer er ikke længere kun investeringer i virksomheder. AI-assisterede scanningsværktøjer skal implementeres og bruges defensivt, når de kommer på markedet. Disse værktøjer udvider rækkevidden af ​​dit sikkerhedsprogram ud over, hvad et menneskeligt team dækker manuelt, kører kontinuerligt og forkorter vinduet mellem kompromittering og detektion. Dine kunder behøver ikke at forstå, hvordan AI'en fungerer. De har brug for, at den kører og er finjusteret, før en angribers AI først finder eventuelle huller.
   
6. Revider leverandørstakken med samme hastende karakter, som du anvender på klientens eget miljø..
   
   Dine kunder kan ikke opdatere software, de ikke kontrollerer. Hvad de kan gøre, er at stille vanskelige spørgsmål til alle kritiske SaaS-leverandører i dette kvartal. Har de deltaget i et AI-assisteret sikkerhedsscanningsprogram? Hvad er deres tidslinje for offentliggørelse af patches? Hvad er deres forpligtelse til hændelsesnotifikation i tilfælde af en zero-day-opdagelse? Svarene identificerer, hvilke leverandører repræsenterer accepteret risiko, og hvilke repræsenterer uacceptabel eksponering. Leverandører inden for Glasswing-koalitionen eller tilsvarende programmer repræsenterer en væsentligt lavere risikoprofil end dem, der ikke har engageret sig i AI-assisteret sårbarhedsopdagelse. Integrer denne vurdering i alle kunders leverandørgennemgangsproces nu, og gennemgå den mindst årligt.
   
7. Gør phishing-modstand og MFA-håndhævelse til dit menneskelige svar på AI-drevet
   opdagelse af sårbarhed.
   
   Når tekniske sårbarheder bliver billige at finde og udnytte som våben, vælger angribere den mindste modstands vej. Den vej vil fortsætte med at gå gennem mennesker. Et Mythos-klasseværktøj finder den ulåste dør i softwaren. En veludformet phishing-e-mail giver angriberen nøglen til alle døre på én gang. Håndhævelse af phishing-resistent MFA på tværs af alle klientmiljøer, eliminering af genbrug af adgangskoder og regelmæssig kørsel af phishing-simuleringer er de kontroller på det menneskelige lag, der begrænser, hvad en angriber kan opnå, selv efter at deres AI har fundet den tekniske åbning.

DE HUL DER BETYDER NOGET

De syv ovenstående anbefalinger er et udgangspunkt, ikke en målstregen. De organisationer, der vil komme igennem denne periode intakte, er dem, hvis sikkerhedspolitik allerede var bygget op omkring antagelsen om, at brud sker, at detektionshastighed er vigtigere end perfekt forebyggelse, at netværk og data segmenteres fra hinanden, og hvor gendannelseskapaciteter er en fundamental forretningsprioritet og et aktiv.

De professionelle, der har behandlet sikkerhed som en kontinuerlig operationel disciplin snarere end en årlig compliance-øvelse, er ikke immune over for det, Mythos repræsenterer. De er bedre i stand til at absorbere det, reagere på det og komme sig hurtigere over det end dem, der ikke er det.

Advarslerne er ikke længere abstrakte, og forstyrrelserne er ikke længere fjerne. Ånden er ude af flasken, og Pandoras æske er åben. Det, der føltes som science fiction sidste år, er et dokumenteret testresultat i dag. Hvis dine klienter endnu ikke arbejder på den virkelighed, er den samtale, du har med dem i dette kvartal, den vigtigste, du har haft i årevis. Den kløft, mellem forberedt og uforberedt, er den eneste, der betyder noget nu. Dit job er at lukke den.

---

kilder:

• SecureWorld 6. maj 2026: Det amerikanske CAISI gennemgår alle Frontier-modeller med henblik på sikkerhed og fitness
• CNN Business, maj 2024 – Warren Buffett om AI på Berkshire Hathaways årlige møde
• Cambridge Universitet, oktober 2016 – Stephen Hawking om risikoen ved AI
• NPR, maj 2023 – Geoffrey Hinton 'Gudfaderen til AI' slår alarm om potentielle farer ved AI
• GatesNotes.com, juli 2023 – Risiciene ved AI er reelle, men håndterbare
• Antropisk sikkerhedsoplysning, februar 2026 – Claude Mythos, Projekt Glasswing, udnyttelse af data, sandkasse
  flugt og interne eksponeringshændelser
• Antropisk forsyningskæderisiko, 4. marts 2026 – Pentagon sætter mærkater i antropisk forsyningskæderisiko
• Antropisk forsyningskædepåbud, 27. marts 2026 – Antropisk føderal dommer blokerer risiko i forsyningskæden
• Anthropic taber appel om risiko i forsyningskæden, 8. april 2026, Antropiske rester mærket forsyningskæderisiko
• Kryptografi: New America, juni 2015 – Dømt til at gentage historien? Lektioner fra kryptokrigene
  af 1990’erne
• Det amerikanske sundhedsministerium, februar 2025 – Kirurgens generalrådgiver om sociale forhold
  Medier og unges mentale sundhed
• Våbenkontrolforeningen, januar 2025 Geopolitik og regulering af autonome våben
  Systemer
• EU's lov om kunstig intelligens, februar 2024 – Oversigt på højt niveau

---

Sikr din virksomhed med CyberHoot i dag!