Claude Mythos åpnet Pandoras eske. Prosjekt Glasswing har et kappløp om å lukke den.

Artikkeloppdateringer:

Tillegg 28. mai 2026: Microsofts MDASH signaliserer fremveksten av AI-sikkerhetssvermer

Uker etter at Anthropics Claude Mythos Preview demonstrerte autonome cybersikkerhetsfunksjoner som vakte oppsikt i hele bransjen, introduserte Microsoft MDASH, et AI-drevet system for å oppdage sårbarheter som øker innsatsen ytterligere.

I motsetning til Claude Mythos Previews arkitektur med én modell, bruker MDASH angivelig mer enn 100 spesialiserte AI-agenter som jobber sammen i en orkestrert prosess. CyberGym AI-sikkerhetsbenchmarkMDASH leverte overlegen ytelse, og det resultatet sender et klart signal. Fremtiden for offensiv og defensiv cybersikkerhet tilhører koordinerte AI-agentsvermer, ikke frittstående grensemodeller.

Per 28. mai 2026

Denne utviklingen forsterker kjernebudskapet i Project Glasswing. Nettsikkerhetsbransjen beveger seg mot autonome AI-systemer som er i stand til å oppdage, teste, prioritere og potensielt utnytte sårbarheter i maskinhastighet. Det er ikke lenger en hypotetisk fremtid.

Lærdommen her er ikke at Microsoft slo Anthropic. Lærdommen er at konkurransegapet mellom store AI-leverandører vil bli redusert raskt etter hvert som rammeverk for orkestrering med flere agenter blir standardisert i hele bransjen.

Organisasjoner må forberede seg nå innen:

1. Akselerer oppdatering: aktiver oppdateringer samme dag eller automatiske oppdateringer for å krympe angrepsvinduet.
2. Reduser angrepsflatenFjern så mange internettvendte porter, IP-adresser og inngangspunkter som mulig.
3. Segmentér interne nettverkAnta at brudd vil skje. Del nettverket ditt opp i seksjoner, fjern unødvendige sammenkoblinger og bygg isolerte soner slik at ett kompromittert område ikke blir full tilgang.
4. Herde programvare med AI-skanningsløsninger Verktøy som MDASH, Mythos og GPT 5.5 er tilgjengelige for forsvarere. Bruk dem før angripere bruker dem mot deg.
5. Begrens eksponering for direkte dataArkiver poster du ikke lenger aktivt trenger for offline lagring. Livedata som ligger på ditt interne nettverk er en unødvendig belastning. Altfor mange selskaper har måttet kontakte 25 år med tidligere kunder etter et sikkerhetsbrudd. Ikke vær en av dem.
6. Bygg medarbeidernes motstandskraftHåndhev sterk passordhygiene, lær ansatte å gjenkjenne phishing-forsøk og rull ut MFA, adgangsnøklerog Passordledere på tvers av organisasjonen din.
7. Implementer HoneyPots for tidlig deteksjon: Tenk Canary og lignende verktøy gir deg tidlig advarsel når noe uautorisert beveger seg inne i nettverket ditt.
8. Håndter tredjepartsrisiko: Spør dine kritiske leverandører i dag om de bruker AI-sårbarhetsskanning for å ligge i forkant av angripere som allerede bruker disse verktøyene mot dem.
9. Bygg og test hendelsesresponsplanen dinDokumenter hvem som gjør hva i løpet av de første 24 timene etter et sikkerhetsbrudd, og kjør deretter en bordøvelse med teamet ditt minst én gang i året. En innøvd plan reduserer gjenopprettingstiden dramatisk. En improvisert plan koster deg dager du ikke har. Håndhev minst mulig
10. Privilegiert tilgangFjern administratorrettigheter fra alle som ikke trenger dem for å gjøre jobben sin, og revider alle privilegerte kontoer kvartalsvis. Enhver unødvendig administratorkonto er en åpen dør som angripere ikke trenger å plukke opp.
11. Test sikkerhetskopiene dineFølg 3-2-1-regelen, tre kopier av kritiske data, på to forskjellige medietyper, hvorav én er lagret eksternt eller offline, og gjenopprett fra disse sikkerhetskopiene etter planen. En sikkerhetskopi du aldri har testet, er en sikkerhetskopi du ikke kan stole på når det gjelder som mest.
12. Gjennomgå cyberforsikringen dinBekreft at din nåværende policy dekker løsepengevirus, driftsavbrudd og kostnader for varsling om sikkerhetsbrudd, og bekreft deretter at din faktiske sikkerhetstilstand oppfyller policykravene. Mange SMB-policyer inkluderer dekningsbetingelser rundt MFA og patching som ugyldiggjør krav når de ikke oppfylles.

Kappløpet handler ikke lenger bare om å bygge smartere AI-modeller. Det handler om å bygge autonome systemer av AI-agenter som samarbeider, tilpasser seg og handler uavhengig. Den gode nyheten for forsvarere er at de samme verktøyene nå finnes på deres side av bordet. Organisasjoner som begynner å forberede seg i dag, vil være i en langt sterkere posisjon enn de som venter på at et brudd skal tvinge dem inn.

Nettsikkerhet har forandret seg for alltid. Er du klar?

26. mai 2026 Prosjekt Glasswing-oppdatering:

"Fremgang innen programvaresikkerhet pleide å være begrenset av hvor raskt vi kunne finne nye sårbarheter. Nå er det begrenset av hvor raskt vi kan verifisere, avsløre og oppdatere det store antallet sårbarheter som AI har funnet.»

Antallet sårbarheter som Mythos identifiserte under skanning av omtrent 50 partneres programvareløsninger, oversteg 10 000+ høye og kritiske problemer. Mythos leverte sannsynligvis godt dokumenterte feil, kombinert med konseptbeviskode og til og med forslag til rettelser.

Anthropic har også kjørt Mythos Preview mot mer enn 1,000 åpen kildekode-prosjekter som samlet sett ligger til grunn for mye av internettets kjerneinfrastruktur. Skanningen har allerede identifisert 6,202 sårbarheter med høy eller kritisk alvorlighetsgrad, av over 23 000 problemer som er funnet. Fordi så mye kommersiell og bedriftsprogramvare er bygget på toppen av disse åpen kildekode-fundamentene, er ikke oppdateringsbølgen begrenset til dine direkte leverandører. Gjennomgå programvarelisten din nå, og følg nøye med på oppdateringer av oppstrømsavhengigheter i løpet av de kommende ukene og månedene.
Forvent å oppdatere mye av programvarestakken din veldig snart. Kilde : https://www.anthropic.com/research/glasswing-initial-update?

Artikkeloppdateringer fra 19. mai: Datalagring påvirker direkte hvor smertefullt et sikkerhetsbrudd blir. Et firma som lagrer klientfiler i 25 år, står overfor en langt større varslingsbyrde etter et sikkerhetsbrudd enn et som bare lagrer fem år. Færre dokumenter på nett betyr færre personer å varsle, lavere juridisk eksponering og kortere gjenopprettingstid. Cyberforsikringsselskaper merker dette også. Selskaper med et mer slankt dataavtrykk betaler ofte lavere premier fordi de representerer mindre risiko. Å gjennomgå hvor lenge klientdokumenter forblir på det interne nettverket er et rimelig steg med reell økonomisk fordel, både før og etter en hendelse.

Oppdateringer til denne artikkelen fra 6. mai:

• Fra og med 6. mai 2026 deler alle større amerikanske AI-laboratorier, inkludert Google DeepMind, Microsoft, xAI, Anthropic og OpenAI, frivillig uutgitte modeller med den føderale regjeringen (CAISI, Senteret for AI-standarder og innovasjon) for sikkerhets- og kapasitetsgjennomganger før disse modellene når offentligheten.
• Disse frivillige avtalene kom dagen etter at New York Times rapporterte at Trump-administrasjonen vurderte en separat obligatorisk gjennomgangsprosess før utplassering via en presidentordre, med Antropikerens Mythos-modell sitert som katalysatorDet frivillige og eventuelle obligatoriske rammeverket ville løpe parallelt, selv om samspillet mellom dem fortsatt er udefinert.
• Ved å samarbeide med CAISI bidrar selskaper til å definere hva «sikker AI» ser ut på nasjonalt sikkerhetsnivå, noe som har kommersielle nedstrømseffekter.
• Bottom Line: Forsvaret i cybersikkerhetsprogrammet ditt må ikke vente på morgendagens trusler (myter osv.) før de handler. AI-verktøyene angripere bruker i dag er allerede kapable nok til å kreve din oppmerksomhet.

En praktisk briefing for vCISO-er

ADVARSELEN VI IGNORERTE ELLER IKKE KUNNE FORSTÅ

I årevis har de mest troverdige stemmene innen AI-forskning kommet med den samme advarselen. Behandle kunstig intelligens med samme institusjonelle alvor som verden viste kjernefysisk teknologi. Warren Buffet uttrykte det tydelig på Berkshire Hathaways aksjonærmøte i 2024:

"Vi slapp en ånd ut av flasken da vi utviklet atomvåpen. AI er noe likt – den er delvis ute av flasken.Kilde: CNN Business, mai 2024

Hvis du er som meg, gitt alvoret i at folk advarer oss (Stephen Hawking, Geoffrey Hinton, Bill Gates), prøvde vi å forstå disse advarslene. Dessverre føltes advarslene abstrakte og umulige å konseptualisere for de fleste av oss. De potensielle forstyrrelsene virket fjerne, dunkle, nærmere science fiction enn virkeligheten. Ånden var fortsatt i flasken, og Pandoras eske var fortsatt godt lukket.

7. april 2026 avslørte Anthropic kort en AI-modell kalt Claude Mythos preview. Det de fant inni bekymret dem nok til å lukke den for allmennheten og begrense tilgangen til en kuratert koalisjon av leverandører av kritisk programvareinfrastruktur. Håpet var å komme foran det denne modellen representerer før motstandere gjør det samme.

HVA ANTROPISK FANT OG HVORFOR DE LÅSTE DET NED

Anthropic avslørte at Claude Mythos fant kritiske programvaresårbarheter, kjent som nulldagsfeil, i alle større operativsystemer og nettlesere de pekte på den. Så Anthropic lukket esken og nektet å gi den ut offentlig. I stedet satte de sammen en koalisjon kalt Prosjekt Glasswing, og tiltrakk seg omtrent 40 til 50 av verdens største leverandører av programvareinfrastruktur, inkludert Microsoft, Google, Apple, Amazon, Cisco og CrowdStrike. Målet var å bruke Mythos til å finne og oppdatere sårbarheter før motstandere kunne utnytte dem som våpen.

Resultatene var betydelige. Mythos identifiserte en 27 år gammel sårbarhet i OpenBSD, et operativsystem designet og vedlikeholdt med sikkerhet som sin primære verdi, som flere tiår med menneskelige ekspertrevisjoner hadde bommet fullstendig på. Beregningskostnaden for å finne den var omtrent $50. Mythos oppnådde en fungerende utnyttelse på første forsøk i over 83 prosent av testtilfellene. Til sammenligning produserte Anthropics tidligere offentlige modell 2 vellykkede utnyttelser på tvers av samme testsuite. Mythos produserte 181.

Under intern testing oppfordret Anthropic Mythos til å finne en måte å unnslippe sandkassen sin på. Det gjorde detForskeren fikk vite om dette ved å motta en uventet e-post fra modellen mens han var borte fra kontoret. Modellen publiserte deretter detaljer om sitt eget angrep på flere offentlige nettsteder uten å bli bedt om å gjøre det. Dette er et dokumentert testresultat fra Anthropics egen sikkerhetsprosess, ikke et teoretisk scenario.

Utfordringen med inneslutning strekker seg utover denne ene modellen. Offentlig rapportering antyder at Claude Mythos representerer et steg i kapasitet snarere enn en trinnvis forbedring. I testing identifiserte den sårbarheter i en skala som er anslått å være 10 til 100 ganger større enn for elite menneskelige team, og konkurrerende modeller fra andre store laboratorier beskrives fortsatt som å henge etter i avanserte cybersikkerhetsoppgaver. AI utvikler seg raskt, og det er uunngåelig at andre leverandørmodeller vil ta igjen.

Tenk også på at Anthropic opplevde to separate utilsiktede eksponeringer av interne filer de siste to månedene, inkludert detaljer om Mythos selv, på grunn av menneskelige feil i sine egne systemer. Den samme organisasjonen som bygger den mest kapable AI-en for sårbarhetsoppdagelse på planeten, lot sitt eget innholdsstyringssystem være usikret og samlet intern kildekode i en offentlig programvareoppdatering. Dette er viktig fordi når et verktøy som Mythos når fiendtlige hender, kopieres det til null marginalkostnad. Nasjonalstater med eksisterende offensive cyberprogrammer og ingen interesse i ansvarlig avsløring vil ikke stoppe opp for å danne sine egne koalisjoner med svært forskjellige agendaer.

ASYMMETRIPROBLEMET

Alle større sikkerhetsrammeverk som er bygget de siste tre tiårene, hviler på en felles antagelse: Forsvarerne har den strukturelle fordelen av høyereliggende områder og bedre synlighet i omgivelsene. Forsvarerne eier kildekoden, arkitekturen, segmenteringen og identitetskontrollene. Denne høye plassen har ikke forsvunnet, men Mythos-klassen AI trenger ikke å ta den. Når oppdagelse av sårbarheter koster 50 dollar og tar timer i stedet for måneder, trenger ikke angriperen lenger en overlegen posisjon.

Project Glasswing dekker 40 til 50 organisasjoner. Det globale programvareøkosystemet inneholder hundrevis av millioner distribusjoner, fra Fortune 500-infrastruktur til den tilpassede forretningsapplikasjonen klienten din bygde i 2017 som ingen har gjennomgått siden. Mythos-klassen AI vil herde de største og mest ressurssterke plattformene først, fordi det er de som er innenfor koalisjonen. Alt utenfor denne perimeteren, som er nesten alt klientene dine er avhengige av daglig, forblir eksponert i det øyeblikket angriperne fikk muligheten til å finne og våpenutvikle sårbarheter raskere enn forsvarere og de fleste programvareleverandører kan reagere.

Ansvarlig avsløring fungerer når sårbarheter dukker opp én om gangen, rapporteres til en leverandør og rettes innen rimelig tid. Mythos fant tusenvis av kritiske sårbarheter i løpet av uker, autonomt, på tvers av alle større operativsystemer og nettlesere samtidig. Avsløringsprosessen var ikke designet for det volumet. Leverandører som mottar varsler om ansvarlig avsløring for dusinvis av kritiske feil samtidig, står overfor sorteringsbeslutninger de aldri har tatt før, med en ingeniørkapasitet som ikke har skalert for å matche oppdagelsesraten.

Det finnes én meningsfull forskyvning. Selv om Mythos finner sårbarheter, foreslår de også rettelser for dem. For organisasjoner i Glasswing ga den samme AI-en som fant hundrevis av problemer også en løsning til ingeniørfaget. Det er en reell akselerator for de 40 til 50 organisasjonene. For alle andre går tiden uten den fordelen.

Kundene dine sitter nedstrøms fra alt dette. SaaS-verktøyene de er avhengige av daglig, skyplattformene som kjører dataene deres, nettleserne de ansatte åpner hver morgen, alle har sårbarheter som motstandere kan kjenne til før leverandøren har hatt tid til å oppdatere dem.

Se etter et tidlig signal om at Mythos-klassen har nådd motstanderens hender: en uvanlig økning i nulldagsavsløringer på tvers av flere leverandører i løpet av et kort vindu, spesielt når det gjelder operativsystemer, nettlesere og bredt distribuerte SaaS-plattformer samtidig. Dette mønsteret, mer enn noen enkelt overskrift, er kanarifuglen. Når du ser det, vil spørsmålet om spredning ha besvart seg selv.

EN NULLDAGSØKONOMI HAR ENDRET SEG

Å finne en ekte nulldags-strategi har historisk sett krevd elite menneskelig talent, betydelig tid og dyp spesialisering. Denne knappheten skapte et begrenset og dyrt marked. Nasjonalstatene betalte titalls millioner dollar for pålitelige nulldags-strategier. Kriminelle grupper hamstret dem nøye fordi de var dyre å anskaffe og verdifulle å bevare. NSA, GRU og tilsvarende etater behandlet sine nulldags-strategier som strategiske eiendeler, og distribuerte dem selektivt for å unngå å bruke opp kapasiteter for tidlig.

Den økonomiske strukturen hvilte på én antagelse: oppdagelser var vanskelige. Claude Mythos har avsluttet den forutsetningen.

Når oppdagelseskostnadene nærmer seg null, vil antallet utnyttelser i omløp eksplodere. Nye motstandere som tidligere manglet talentet eller ressursene til å delta i offensive operasjoner, har nå en måte å oppnå begge deler på. Kriminelle grupper som tidligere rasjonerte sine nulldagsangrep fordi anskaffelse var dyrt, står ikke lenger overfor den begrensningen. Nasjonalstater som bare manglet utnyttelser å brenne, har så mange de trenger nå. Inngangsbarrieren for sofistikerte angrep har sunket med størrelsesordener, og den vil ikke bli nullstilt.

DEN REGULERINGSMETODE VIRKELIGHETEN

Det ærlige svaret på om internasjonal regulering vil demme opp for denne trusselen er: ikke i tide, og ikke fullstendig. Det er ikke kynisme. Det er det dokumenterte mønsteret for alle større utfordringer knyttet til styring av dobbeltbruksteknologi i moderne historie.

Kryptografipolitikken forsinket utrullingen med et tiår, med kryptering behandlet som ammunisjon under våpeneksportkontroll langt ut på 1990-tallet, mens det kommersielle internettet allerede ble bygget rundt det. Skadene på sosiale medier for en generasjon unge mennesker blir først nå adressert i lov, lenge etter at skaden var skjeddTraktater om autonome våpen forbli ufullstendig til tross for et tiår med FN-forhandlinger, der stormakter blokkerte bindende avtaler mens de tok i bruk systemene som ble diskutert. I begge tilfeller utviklet teknologien seg raskere enn institusjonene som var utformet for å styre den. Med AI-språkmodeller er akselerasjonen enda skarpere, noe som komprimerer tiden som er tilgjengelig for å vurdere, forsvare seg mot og tilpasse seg risikoer før de materialiserer seg i stor skala.

EUs KI-lov omhandler risikoklassifisering og krav til åpenhet. Den skaper ikke et meningsfullt internasjonalt rammeverk for å kontrollere spredningen av offensive kapabiliteter av Mythos-klassen. USA har presidentordrer og frivillige forpliktelser fra store KI-utviklere. Frivillige forpliktelser binder ikke utviklere som velger å ikke delta, og de binder ikke motstandere som tilegner seg kapabiliteten på andre måter.

Anthropic trakk to etiske linjer som er verdt å merke seg. De nektet å tillate sine Claude-modeller i fullstendig autonome våpensystemer, og de nektet å tillate masseovervåking av amerikanske borgere innenlands. Anthropics administrerende direktør Dario Amodi uttalte at bruk av kunstig intelligens til masseovervåking innenlands ville være «uforenlig med demokratiske verdier», og at dagens AI-modeller i grenselandet «rett og slett ikke er pålitelige nok» for fullstendig autonome våpen. Pentagons svar var å etikett Antropisk en forsyningskjederisiko tidlig i mars, en betegnelse som historisk sett var forbeholdt utenlandske motstandere, ikke amerikanske selskaper som var uenige med regjeringens politikk. Anthropic saksøkte, og en føderal dommer i California innvilget en midlertidig forføyning sent i mars, og skrev at myndighetene ikke hadde noe lovfestet grunnlag for å stemple et amerikansk selskap som en nasjonal sikkerhetstrussel for å være uenig i politikken. 8. april avgjorde DC Circuit Court of Appeals nektet å sette betegnelsen på pause mens rettssaken fortsetter, forblir merkelappen på plass med muntlige argumenter planlagt til 19. mai. Selskapet som valgte å låse inne den mest kapable AI-en for sårbarhetsoppdagelse som noensinne er bygget, kjemper nå mot sin egen regjering i to føderale domstoler for å ha sikkerhetsstandarder.

Ansvarlige aktører som begrenser seg kjøper tid. Det kjøper ikke permanent sikkerhet. Det regulatoriske miljøet kundene dine vil operere i de neste årene er et der de kraftigste offensive AI-verktøyene nominelt kontrolleres, praktisk talt sprer seg og styres av rammeverk designet for et langsommere trusselmiljø.

For å øke presset er det enda vanskeligere å forsvare seg mot nasjonalstatene som er mest motiverte til å stjele dem. Anthropic, OpenAI og deres konkurrenter er programvareselskaper med sterke ingeniørkulturer og voksende sikkerhetsteam. De er ikke etterretningstjenester. De samme nasjonalstatene som har klart å stjele atomhemmeligheter, åndsverk tilhørende forsvarsleverandører og klassifiserte offentlige dokumenter de siste to tiårene, har nå et enkelt og åpenbart mål. En modell som Mythos, når den først er stjålet, krever ingen produksjon, ingen forsyningskjede og ingen videre utviklingskostnader. Den kopieres umiddelbart og opererer i stor skala fra det øyeblikket den havner i fiendtlige hender. Spørsmålet om disse selskapene kan forsvare kronjuvelene sine mot en tålmodig, ressurssterk nasjonalstatlig aktør, er et spørsmål bransjen ikke har besvart overbevisende.

NASJONSTATSDIMENSJONEN

Iran, Kina, Russland og Nord-Korea opererer alle sofistikerte offensive cyberprogrammer. De opprettholder nulldagslagre og har vist vilje og evne til å utføre destruktive angrep mot sivil infrastruktur på tvers av flere offentlige tiltaler, attribusjonsrapporter og analyser etter hendelser.

Mythos gir ikke disse aktørene noe de konseptuelt manglet. Når de først ervervet, enten gjennom tyveri eller kommersiell tilgang til Mythos-konkurrenter som tar igjen, gir det dem skala, hastighet og en kostnadsstruktur som fjerner ressursbegrensningene som tidligere begrenset deres operasjonelle tempo.

Mål som tidligere ble ansett som for små eller for obskure til å rettferdiggjøre investeringen, blir økonomisk levedyktige når oppdagelse og våpenbygging nesten ikke koster noe. Dine mellomstore kunder, en regional produsent, et helsevesen, et finansielt tjenestefirma med 200 ansatte, har historisk sett nytt godt av en form for sikkerhet gjennom obskuritet. Ikke fordi forsvaret deres var sterkt, men fordi det å kompromittere dem krevde innsats som kunne vært bedre brukt på mål med høyere verdi. Den kalkulusen endres når verktøy i Mythos-klassen gjør kompromisser billige i stor skala.

Kritisk infrastruktur representerer den mest akutte risikoen. Kraftnett, vannbehandlingssystemer, sykehusnettverk og finansielle clearingsystemer kjører alle programvare utenfor Glasswing-koalisjonen. Mange kjører eldre kode som ikke har blitt revidert på flere år, på infrastruktur som aldri er designet med tanke på moderne trusselaktører. En motstander med Mythos-klassekapasitet og ingen interesse for ansvarlig avsløring trenger ikke å velge et enkelt mål med høy verdi. De skanner alt, finner alt og prioriterer senere.

Konseptet med gjensidig garantert ødeleggelse fungerte som et atomvåpenavskrekkingsmiddel fordi begge sider forsto at gjengjeldelse var sikker og symmetrisk. Cyberkonflikter deler ikke disse egenskapene. Attribusjon er vanskelig. Terskelen for gjengjeldelse er uklar. Mange skadelige angrep er utformet for å holde seg under terskelen for væpnet konflikt.Offensiv kunstig intelligens av Mythos-klassen skaper en ny form for straffrihet for aktører som er villige til å operere under gjengjeldelsesterskelen, som beskriver de fleste nasjonalstatlige cyberoperasjoner som utføres i dag.

HVA SOM EGENTLIG HAR ENDRET SEG

Flere veletablerte antagelser innen bedriftssikkerhet er nå driftsmessig upålitelige og verdt å navngi direkte.

Antagelsen om at perimeterforsvar gir meningsfull beskyttelse har blitt utfordret i årevis, og nulltillitsarkitektur har vært bransjens svar. Det nye er hastigheten som perimetersårbarheter vil bli oppdaget og gjort til våpen. Nulltillit er fortsatt det riktige rammeverket. Det haster med å implementere det fullt ut har økt.

Antagelsen om at samsvarsrammeverk tilsvarer tilstrekkelig sikkerhet har alltid vært ufullkommen. En klient som fullførte SOC 2-revisjonen sin i forrige kvartal og anser seg dekket, opererer ut fra en falsk følelse av trygghet. Samsvarsrammeverk beskriver en grunnlinje utformet rundt et tregere og dyrere trusselmiljø.

Antagelsen om at små og mellomstore organisasjoner er lavprioriterte mål fordi kompromiss krever investering er brutt. Skala og kostnad beskytter ikke lenger ukjenthet.

Antagelsen om at programvare fra anerkjente leverandører er rimelig sikker fordi den har vært i produksjon i årevis og motstått ekspertgranskning, er brutt. En 27 år gammel OpenBSD-sårbarhet overlevde flere tiår med ekspertrevisjon. Mythos fant den i løpet av timer. Hver programvare kundene dine kjører bærer med seg den samme usikkerheten, uavhengig av omdømme eller alder.

Antagelsen om at patchhåndtering er en rutinemessig driftsoppgave snarere enn en strategisk prioritet må pensjoneres. Patchkadens er nå en risikostyringsbeslutning i første rekke.

STATUS QUO SOM IKKE LENGER EKSISTERER

Det er verdt å nevne tydelig hva som har endret seg, fordi sikkerhetsbransjen har en tendens til å absorbere nye trusler gradvis uten å stoppe opp for å si: denne er annerledes.

SIX SYV TILTAK Å PRIORITERE MED KUNDER NÅ

1. Komprimer oppdateringssyklusen og gjør det til en samtale på styrenivå.
   
   Vinduet mellom en eksisterende sårbarhet og en angriper som utnytter den som våpen har kollapset. Månedlig oppdatering er ikke lenger forsvarlig. Ukentlige kadenser for kritiske systemer, automatisert oppdatering der miljøer støtter det, og en tydelig eierprosess for nødoppdateringer utenfor den normale syklusen er den nye grunnlinjen. Sett dette i sammenheng med ledelse som operasjonell risikostyring. Når verktøy i Mythos-klassen finner en flere tiår gammel sårbarhet for femti dollar og foreslår en fungerende utnyttelse i samme økt, er en utsatt oppdatering en avgjørelse om forretningskontinuitet som står i IT-køen.
   
2. Revider og reduser angrepsflaten med ny hastverk.
   
   Hver eksponert tjeneste, eldre applikasjon, glemt API og uadministrert endepunkt er nå en belastning med kortere levetid. Gjennomfør en ny inventarisering med hver klient dette kvartalet. Prioriter eksternt rettet systemer først. En motstander med Mythos-klassefunksjonalitet trenger ikke å velge et mål. De skanner alt, finner alt og prioriterer senere. Ikke legg igjen noe som er lett å finne.
   
3. Flytt klientsamtalen fra perimeterforsvar til antagelse om brudd.
   
   Organisasjonene som er mest utsatt, er de som fortsatt opererer ut fra den tro at en sterk perimeter holder angripere ute. Klientene som vil klare seg best har investert i identitetskontroller, atferdsovervåking, arkitektur med minst mulig privilegier og testede hendelsesresponsplaner. Sett det enkelt opp for ledelsen: spørsmålet er ikke lenger om et sofistikert angrep når miljøet deres. Spørsmålet er hvor mye skade det gjør når det ankommer, og hvor raskt de oppdager og begrenser det. En testet hendelsesresponsplan er ikke et samsvarsdokument. Det er forskjellen mellom et brudd som kan gjenopprettes og et som ikke kan gjenopprettes.
   
4. NY: Revider datalagring og krymp målet før et brudd koster det for deg.
   
   Reduser dataavtrykket ditt ved å hjelpe kundene dine med å opprette og implementere en policy for dataoppbevaring. Hackere som bruker verktøy i Mythos-klassen, vil identifisere hvor mye data du har og stjele (eksfiltrere) dem. En klient som lagrer 25 års data krever en mye større løsepenger enn en som bare beholder fem år. Varslingsbyrden etter et brudd skaleres direkte med eksponerte data. Det samme gjelder juridisk ansvar og gjenopprettingstid. Cyberforsikringsselskaper priser også dette. Slankere oppbevaringspolicyer betyr lavere premier og mindre konsekvenser av bruddet for kundene dine. Hjelp kundene med å definere en oppbevaringsplan som bare inneholder det som samsvar eller forretningsbehov krever, og ingenting mer. Data som ikke eksisterer, kan ikke stjeles, løses inn eller avsløres.
   
5. Bekjemp AI-drevne angrep med AI-drevet forsvar.
   
   Det samme kapasitetsskiftet som gjør Mythos farlig i angrep, gjelder også i forsvar, og kundene dine må være på riktig side av den ligningen. AI-drevet endepunktdeteksjon, overvåking av atferdsavvik og automatiserte trusseljaktverktøy er ikke lenger kun investeringer for bedrifter. AI-assisterte skanneverktøy må tas i bruk og brukes defensivt når de kommer på markedet. Disse verktøyene utvider rekkevidden til sikkerhetsprogrammet ditt utover det et menneskelig team dekker manuelt, kjører kontinuerlig og forkorter vinduet mellom kompromittering og deteksjon. Kundene dine trenger ikke å forstå hvordan AI-en fungerer. De trenger at den kjører og finjusteres før en angripers AI finner eventuelle hull først.
   
6. Revider leverandørstakken med samme hastverk som du bruker på klientens eget miljø.
   
   Kundene dine kan ikke oppdatere programvare de ikke kontrollerer. Det de kan gjøre er å stille vanskelige spørsmål til alle kritiske SaaS-leverandører dette kvartalet. Deltok de i noe AI-assistert sikkerhetsskanningsprogram? Hva er tidslinjen deres for offentliggjøring av oppdateringer? Hva er deres forpliktelse til varsling om hendelser i tilfelle en nulldagsoppdagelse? Svarene identifiserer hvilke leverandører som representerer akseptert risiko og hvilke som representerer uakseptabel eksponering. Leverandører innenfor Glasswing-koalisjonen eller som driver tilsvarende programmer, representerer en vesentlig lavere risikoprofil enn de som ikke har engasjert seg i AI-assistert sårbarhetsoppdagelse. Bygg inn denne vurderingen i hver klients leverandørgjennomgangsprosess nå, og gjennomgå den minst årlig.
   
7. Gjør phishing-motstand og MFA-håndhevelse til ditt menneskelige svar på AI-drevet
   oppdagelse av sårbarhet.
   
   Når tekniske sårbarheter blir billige å finne og utnytte som våpen, velger angripere minste motstands vei. Den veien vil fortsette å gå gjennom mennesker. Et verktøy i Mythos-klassen finner den ulåste døren i programvaren. En godt utformet phishing-e-post gir angriperen nøkkelen til hver dør samtidig. Å håndheve phishing-resistent MFA på tvers av alle klientmiljøer, eliminere gjenbruk av passord og kjøre regelmessige phishing-simuleringer er kontrollene på det menneskelige laget som begrenser hva en angriper oppnår selv etter at deres AI finner den tekniske åpningen.

HULENE SOM VIKTER

De sju anbefalingene ovenfor er et utgangspunkt, ikke en målstrek. Organisasjonene som vil komme seg gjennom denne perioden intakte er de som allerede har en sikkerhetsposisjon bygget rundt antagelsen om at sikkerhetsbrudd skjer, at deteksjonshastighet er viktigere enn perfeksjonell forebygging, at nettverk og data segmenteres fra hverandre, og hvor gjenopprettingsmuligheter er en grunnleggende forretningsprioritet og ressurs.

Fagfolk som har behandlet sikkerhet som en kontinuerlig driftsdisiplin snarere enn en årlig samsvarsøvelse er ikke immune mot det Mythos representerer. De er i en bedre posisjon til å absorbere det, reagere på det og komme seg etter det raskere enn de som ikke er det.

Advarslene er ikke lenger abstrakte, og forstyrrelsene er ikke lenger fjerne. Ånden er ute av flasken, og Pandoras eske er åpen. Det som føltes som science fiction i fjor, er et dokumentert testresultat i dag. Hvis klientene dine ennå ikke opererer på den virkeligheten, er samtalen du har med dem dette kvartalet den viktigste du har hatt på mange år. Det gapet, mellom forberedt og uforberedt, er det eneste som betyr noe nå. Din jobb er å lukke det.

---

kilder:

• SecureWorld 6. mai 2026: Det amerikanske CAISI gjennomgår alle Frontier-modeller for sikkerhet og kondisjon.
• CNN Business, mai 2024 – Warren Buffett om AI på Berkshire Hathaways årsmøte
• Universitetet i Cambridge, oktober 2016 – Stephen Hawking om risiko knyttet til kunstig intelligens
• NPR, mai 2023 – Geoffrey Hinton «Gudfaren til AI» slår alarm om potensielle farer ved AI
• GatesNotes.com, juli 2023 – Risikoene ved AI er reelle, men håndterbare
• Antropisk sikkerhetsavsløring, februar 2026 – Claude Mythos, Prosjekt Glasswing, utnyttelse av data, sandkasse
  rømning og interne eksponeringshendelser
• Antropisk forsyningskjederisiko, 4. mars 2026 – Pentagon merker antropisk forsyningskjederisiko
• Antropisk forsyningskjedeforbud, 27. mars 2026 – Antropisk føderal dommer blokkerer risiko i forsyningskjeden
• Anthropic taper anke om risiko i forsyningskjeden, 8. april 2026, Antropiske levninger merket forsyningskjederisiko
• Kryptografi: New America, juni 2015 – Dømt til å gjenta historien? Lærdommer fra kryptokrigene
  av 1990-tallet
• Det amerikanske helse- og omsorgsdepartementet, februar 2025 – Surgeon Generals råd om sosiale forhold
  Media og ungdoms psykiske helse
• Våpenkontrollforeningen, januar 2025 Geopolitikk og regulering av autonome våpen
  Systemer
• EUs lov om kunstig intelligens, februar 2024 – Overordnet sammendrag

---

Sikre bedriften din med CyberHoot i dag!