Binuksan ni Claude Mythos ang Pandora's Box. Nagmamadali ang Project Glasswing na Isara Ito.

Mga Update sa Artikulo:

Mayo 28, 2026 Addendum: Ang MDASH ng Microsoft ay Naghahatid ng Senyales ng Pagtaas ng mga Kulumpon ng Seguridad ng AI

Ilang linggo matapos ipakita ng Claude Mythos Preview ng Anthropic ang mga autonomous na kakayahan sa cybersecurity na ikinagulat ng buong industriya, ipinakilala ng Microsoft ang MDASH, isang AI-driven na vulnerability discovery system na mas nagpapataas pa ng panganib.

Hindi tulad ng single-model architecture ni Claude Mythos Preview, ang MDASH ay naiulat na gumagamit ng mahigit 100 espesyalisadong AI agent na nagtutulungan sa isang orchestrated pipeline. Sa Benchmark ng seguridad ng CyberGym AI, ang MDASH ay naghatid ng superior na pagganap, at ang resultang iyon ay nagpapadala ng malinaw na senyales. Ang kinabukasan ng opensiba at depensibong cybersecurity ay nakasalalay sa mga koordinadong AI-agent swarms, hindi sa mga standalone frontier model.

Noong Mayo 28, 2026

Pinatitibay ng pag-unlad na ito ang pangunahing mensahe ng Project Glasswing. Ang industriya ng cybersecurity ay patungo sa mga autonomous AI system na may kakayahang tumuklas, sumubok, magbigay ng prayoridad, at potensyal na pagsamantalahan ang mga kahinaan sa bilis ng makina. Hindi na ito isang hipotetikal na hinaharap.

Ang aral dito ay hindi natalo ng Microsoft ang Anthropic. Ang aral ay ang agwat sa kompetisyon sa pagitan ng mga pangunahing vendor ng AI ay mabilis na magsasara habang ang mga balangkas ng multi-agent orchestration ay nagiging pamantayan sa buong industriya.

Ang mga organisasyon ay dapat maghanda ngayon sa pamamagitan ng:

1. Pabilisin ang Pag-patch: paganahin ang mga update sa parehong araw o awtomatikong pag-update upang paliitin ang panahon ng pag-atake.
2. Bawasan ang Ibabaw ng Pag-atake: alisin ang pinakamaraming port, IP address, at entry point na nakaharap sa Internet hangga't maaari.
3. Mga Panloob na Network ng Segment: ipagpalagay na may mangyayaring mga paglabag. Hatiin ang iyong network, alisin ang mga hindi kinakailangang interconnect, at bumuo ng mga nakahiwalay na sona upang ang isang nakompromisong lugar ay hindi maging ganap na access.
4. Harden Software na may mga Solusyon sa Pag-scan ng AI May mga kagamitang tulad ng MDASH, Mythos, at GPT 5.5 na magagamit ng mga tagapagtanggol. Gamitin ang mga ito bago pa man gamitin ito ng mga umaatake laban sa iyo.
5. Limitahan ang Pagkakalantad sa Live DataI-archive ang mga rekord na hindi mo na kailangang i-save nang offline. Ang pagkakaroon ng live data na nakaimbak sa iyong internal network ay isang hindi kinakailangang pananagutan. Napakaraming kumpanya ang kinailangang makipag-ugnayan sa mga dating kliyente nito na mahigit 25 taon na ang nakalipas matapos ang isang paglabag. Huwag maging isa sa mga iyon.
6. Bumuo ng Katatagan ng mga Empleyado: Ipatupad ang mahigpit na kalinisan sa password, turuan ang mga empleyado na kilalanin ang mga pagtatangka ng phishing, at ilunsad MFA, mga passkey, at Tagapangasiwa ng Password sa kabuuan ng iyong organisasyon.
7. Mag-deploy ng HoneyPots para sa Maagang Pagtuklas: Thinkst Canary at mga katulad na tool ay nagbibigay sa iyo ng maagang babala kapag may gumagalaw na hindi awtorisado sa loob ng iyong network.
8. Pamahalaan ang Panganib ng Ikatlong Partido: Tanungin ang iyong mga mahahalagang vendor ngayon kung gumagamit sila ng AI vulnerability scanning para manatiling nangunguna sa mga umaatake na gumagamit na ng mga tool na ito laban sa kanila.
9. Buuin at Subukan ang Iyong Plano sa Pagtugon sa InsidenteIdokumento kung sino ang gumagawa ng ano sa unang 24 na oras pagkatapos ng isang paglabag, pagkatapos ay magsagawa ng isang tabletop exercise kasama ang iyong team kahit isang beses sa isang taon. Ang isang naisasagawang plano ay lubhang nakakabawas sa oras ng paggaling. Ang isang improvised na plano ay nakakabawas sa mga araw na wala ka. Ipatupad ang mga ito nang hindi bababa sa
10. Pag-access sa PribilehiyoAlisin ang mga karapatang administratibo mula sa sinumang hindi nangangailangan sa kanila na gawin ang kanilang trabaho, at i-audit ang lahat ng pribilehiyong account sa isang quarterly na iskedyul. Ang bawat hindi kinakailangang admin account ay bukas na pinto na hindi kailangang pilitin ng mga umaatake.
11. Subukan ang Iyong Mga Pag-back upSundin ang 3-2-1 rule, tatlong kopya ng mahahalagang datos, sa dalawang magkaibang uri ng media, isa ang nakaimbak sa labas ng site o offline, at i-restore mula sa mga backup na iyon nang naka-iskedyul. Ang backup na hindi mo pa nasusubukan ay isang backup na hindi mo mapagkakatiwalaan kapag ito ang pinakamahalaga.
12. Suriin ang Iyong Patakaran sa Cyber ​​InsuranceKumpirmahin kung sakop ng iyong kasalukuyang polisiya ang mga gastos sa ransomware, pagkaantala ng negosyo, at abiso sa paglabag, pagkatapos ay i-verify na natutugunan ng iyong aktwal na seguridad ang mga kinakailangan sa polisiya. Maraming polisiya ng SMB ang may kasamang mga kundisyon sa saklaw kaugnay ng MFA at pag-patch na nagpapawalang-bisa sa mga claim kapag hindi natugunan.

Ang laban ay hindi na lamang tungkol sa pagbuo ng mas matalinong mga modelo ng AI. Ito ay tungkol sa pagbuo ng mga autonomous na sistema ng mga ahente ng AI na nakikipagtulungan, umaangkop, at kumikilos nang nakapag-iisa. Ang magandang balita para sa mga tagapagtanggol ay ang parehong mga kagamitan ay umiiral na ngayon sa inyong panig. Ang mga organisasyong nagsisimulang maghanda ngayon ay nasa mas malakas na posisyon kaysa sa mga naghihintay na mapilitan ang isang paglabag.

Ang cybersecurity ay nagbago nang tuluyan. Handa ka na ba?

Mayo 26, 2026 Update sa Proyekto Glasswing:

"Ang pag-unlad sa seguridad ng software ay dating limitado sa kung gaano kabilis natin mahahanap ang mga bagong kahinaan. Ngayon ay limitado na ito sa kung gaano kabilis natin mahahanap ang mga ito. beripikahin, ibunyag, at i-patch ang malaking bilang ng mga kahinaan na natagpuan ng AI.”

Ang bilang ng mga kahinaan na natukoy ng Mythos habang ini-scan ang humigit-kumulang 50 solusyon sa software ng mga kasosyo ay lumampas sa mahigit 10,000 Mataas at Kritikal na isyu. Malamang na nagbigay ang Mythos ng mga mahusay na dokumentadong bug, kasama ang patunay ng konsepto ng code at maging ang mga mungkahi sa pag-aayos.

Bukod pa rito, pinapatakbo rin ng Anthropic ang Mythos Preview laban sa mahigit 1,000 open-source na proyekto na sama-samang sumusuporta sa halos lahat ng pangunahing imprastraktura ng internet. Natukoy na ng scan na iyon ang 6,202 na high- o critical-severity na kahinaan, mula sa mahigit 23,000 kabuuang isyung natagpuan. Dahil napakaraming commercial at enterprise software ang binuo sa ibabaw ng mga open-source na pundasyong ito, ang patch wave ay hindi limitado sa iyong mga direktang vendor. Suriin ang iyong software bill of materials ngayon at bantayang mabuti ang mga upstream dependency update sa mga darating na linggo at buwan.
Asahan mong maaayos mo ang karamihan sa iyong software stack sa lalong madaling panahon. pinagmulan: https://www.anthropic.com/research/glasswing-initial-update?

Mga Update sa Artikulo noong Mayo 19: Direktang hinuhubog ng pagpapanatili ng datos kung gaano kasakit ang nagiging resulta ng isang paglabag. Ang isang kompanya na nag-iimbak ng 25 taon ng mga file ng kliyente ay nahaharap sa mas malaking pasanin sa abiso pagkatapos ng isang paglabag kaysa sa isang kompanya na nag-iimbak lamang ng limang taon. Ang mas kaunting mga rekord online ay nangangahulugan ng mas kaunting mga taong aabisuhan, mas mababang legal na pagkakalantad, at mas maikling oras ng pagbawi. Napapansin din ito ng mga cyber insurance carrier. Ang mga kompanyang may mas kaunting data footprint ay kadalasang nagbabayad ng mas mababang mga premium dahil kumakatawan ang mga ito sa mas kaunting panganib. Ang pagsusuri kung gaano katagal nananatili ang mga rekord ng kliyente sa iyong internal network ay isang mababang gastos na hakbang na may tunay na pinansyal na kalamangan, bago at pagkatapos ng isang insidente.

Mga Pagbabago sa Artikulo na ito noong Mayo 6:

• Simula Mayo 6, 2026, bawat pangunahing laboratoryo ng AI sa US, kabilang ang Google DeepMind, Microsoft, xAI, Anthropic, at OpenAI, ay kusang-loob na ngayong nagbabahagi ng mga hindi pa inilalabas na modelo sa pederal na pamahalaan (Ang CAISI, ang Sentro para sa mga Pamantayan at Inobasyon ng AI) para sa mga pagsusuri sa seguridad at kakayahan bago pa man makarating ang mga modelong iyon sa publiko.
• Ang mga boluntaryong kasunduang ito ay dumating isang araw matapos iulat ng New York Times na tinitimbang ng Administrasyong Trump ang isang hiwalay na mandatoryong proseso ng pagsusuri bago ang pag-deploy sa pamamagitan ng Executive Order, kasama ang Binanggit ang modelong Mythos ni Anthropic bilang katalistaAng balangkas ng boluntaryo at anumang mandatoryong gawain ay tatakbo nang magkasabay, bagama't hindi pa rin natutukoy ang kanilang interaksyon.
• Sa pamamagitan ng pakikipag-ugnayan sa CAISI, nakakatulong ang mga kumpanya na tukuyin kung ano ang hitsura ng "ligtas na AI" sa antas ng pambansang seguridad, na may mga komersyal na epekto sa hinaharap.
• Ika-Line: Ang mga depensa ng iyong programa sa cybersecurity ay hindi dapat maghintay sa mga banta ng kinabukasan (Mythos atbp.) bago kumilos. Ang mga kagamitang AI na ginagamit ng mga umaatake ngayon ay may sapat nang kakayahan upang makuha ang iyong atensyon.

Isang Praktikal na Maikling Buod para sa mga vCISO

ANG BABALA NA HINDI NATIN PINANSIN O HINDI NAINTINDIHAN

Sa loob ng maraming taon, ang mga pinaka-kapani-paniwalang tinig sa pananaliksik sa AI ay naglabas ng parehong babala. Tratuhin ang artificial intelligence nang may parehong kaseryosohan ng institusyon na inilapat ng mundo sa teknolohiyang nuklear. Malinaw na sinabi ito ni Warren Buffet sa pulong ng mga shareholder ng Berkshire Hathaway sa 2024:

"Nagpakawala tayo ng isang dyini mula sa bote noong nakabuo tayo ng mga sandatang nuklear. Medyo katulad ang AI — medyo galing pa ito sa bote.Pinagmulan: CNN Business, Mayo 2024

Kung katulad kita, kung isasaalang-alang ang bigat ng mga taong nagbabala sa atin (Stephen Hawking, Geoffrey Hinton, Bill Gates), sinubukan naming unawain ang mga babalang ito. Sa kasamaang palad, para sa karamihan sa amin, ang mga babala ay parang abstrakto at imposibleng maisip. Ang mga potensyal na pagkagambala ay tila malayo, malabo, mas malapit sa science fiction kaysa sa realidad. Ang dyini ay nasa loob pa rin ng bote at ang Pandora's Box ay mahigpit pa ring nakasara.

Noong Abril 7, 2026, panandaliang ipinakilala ng Anthropic ang isang AI model na tinatawag na Claude Mythos preview. Ang kanilang natuklasan sa loob ay labis na ikinabahala nila kaya't isinara nila ito para sa publiko at pinaghigpitan ang access sa isang piling koalisyon ng mga kritikal na provider ng software infrastructure. Ang pag-asa ay maunahan ang kinakatawan ng modelong ito bago pa man gawin din ito ng mga kalaban.

ANO ANG NATUKLAPAN NG MGA ANTROPIKA AT BAKIT NILA ITO INILOCKDOWN

Inihayag ng Anthropic na natagpuan ni Claude Mythos ang mga kritikal na kahinaan ng software, na kilala bilang zero-days, sa bawat pangunahing operating system at browser itinuro nila ito. Kaya isinara ng Anthropic ang kahon at tumangging ilabas ito sa publiko. Sa halip, bumuo sila ng isang koalisyon na tinatawag na Proyekto Glasswing, na kumukuha ng humigit-kumulang 40 hanggang 50 sa pinakamalalaking tagapagbigay ng imprastraktura ng software sa mundo, kabilang ang Microsoft, Google, Apple, Amazon, Cisco, at CrowdStrike. Ang layunin ay gamitin ang Mythos upang mahanap at ayusin ang mga kahinaan bago pa man ito magamit ng mga kalaban bilang armas.

Mahalaga ang mga resulta. Natukoy ng Mythos ang isang 27-taong-gulang na kahinaan sa OpenBSD, isang operating system dinisenyo at pinapanatili na ang seguridad ang pangunahing halaga nito, na lubos na hindi nasagot ng mga dekada ng mga ekspertong pag-audit ng tao. Ang gastos sa pagkalkula upang mahanap ito ay humigit-kumulang $50. Nakamit ng Mythos ang isang gumaganang exploit sa unang pagtatangka nito sa mahigit 83 porsyento ng mga kaso ng pagsubok. Bilang paghahambing, ang nakaraang pampublikong modelo ng Anthropic ay nakagawa ng 2 matagumpay na exploit sa parehong test suite. Ang Mythos ay nakagawa ng 181.

Sa panahon ng internal testing, hinikayat ng Anthropic ang Mythos na maghanap ng paraan para makatakas sa sandbox nito. Ginawa nitoNalaman ito ng mananaliksik sa pamamagitan ng pagtanggap ng isang hindi inaasahang email mula sa modelo habang wala sa opisina. Pagkatapos ay nag-post ang modelo ng mga detalye ng sarili nitong exploit sa maraming pampublikong website nang hindi hiniling na gawin ito. Ito ay isang dokumentadong resulta ng pagsubok mula sa sariling proseso ng kaligtasan ng Anthropic, hindi isang teoretikal na senaryo.

Ang hamon sa pagpigil ay lumalampas pa sa nag-iisang modelong ito. Ipinahihiwatig ng pampublikong pag-uulat na si Claude Mythos ay kumakatawan sa isang unti-unting pagbabago sa kakayahan sa halip na isang unti-unting pagpapabuti. Sa pagsubok, natukoy nito ang mga kahinaan sa sukat na tinatayang 10 hanggang 100 beses kaysa sa mga piling pangkat ng tao, at ang mga kakumpitensyang modelo mula sa iba pang pangunahing laboratoryo ay inilalarawan pa rin bilang nahuhuli nito sa mga advanced na gawain sa cybersecurity. Mabilis na umuunlad ang AI, at hindi maiiwasan na mahabol ng ibang mga modelo ng vendor.

Isaalang-alang din na ang Anthropic ay nakaranas ng dalawang magkahiwalay na aksidenteng pagkakalantad ng mga internal na file sa nakalipas na dalawang buwan, kabilang ang mga detalye tungkol sa Mythos mismo, dahil sa pagkakamali ng tao sa sarili nilang mga sistema. Ang parehong organisasyon na bumubuo ng pinaka-may kakayahang AI sa pagtuklas ng kahinaan sa planeta ay iniwan ang sarili nitong content management system na hindi ligtas at pinagsama ang internal source code sa isang pampublikong software update. Mahalaga ito dahil kapag ang isang tool tulad ng Mythos ay umabot sa mga kamay ng kaaway, kinokopya ito nang walang marginal na gastos. Ang mga bansang-estado na may umiiral na mga opensibong programa sa cyber at walang interes sa responsableng pagsisiwalat ay hindi titigil upang bumuo ng sarili nilang mga koalisyon na may ibang-iba na mga adyenda.

ANG PROBLEMA NG ASYMETRIYA

Ang bawat pangunahing balangkas ng seguridad na binuo sa nakalipas na tatlong dekada ay nakasalalay sa isang ibinahaging palagay: ang mga tagapagtanggol ay may bentahe sa istruktura ng mas mataas na lugar at mas mahusay na kakayahang makita sa kapaligiran. Ang mga tagapagtanggol ang may-ari ng source code, arkitektura, segmentasyon, at mga kontrol sa pagkakakilanlan. Ang mataas na lugar na iyon ay hindi nawala, ngunit hindi ito kailangang kunin ng Mythos-class AI. Kapag ang pagtuklas ng kahinaan ay nagkakahalaga ng $50 at tumatagal ng ilang oras sa halip na ilang buwan, hindi na kailangan ng umaatake ng nakatataas na posisyon.

Sakop ng Project Glasswing ang 40 hanggang 50 organisasyon. Ang pandaigdigang ecosystem ng software ay naglalaman ng daan-daang milyong deployment, mula sa Fortune 500 infrastructure hanggang sa custom line-of-business application na binuo ng iyong kliyente noong 2017 na walang sinuman ang sumuri mula noon. Una, patitibayin ng Mythos-class AI ang pinakamalaki at pinakamaraming resources na platform dahil iyon ang mga nasa loob ng koalisyon. Lahat ng bagay sa labas ng perimeter na iyon, na halos lahat ng bagay na inaasahan ng iyong mga kliyente araw-araw, ay nananatiling nakalantad sa eksaktong sandali na nagkaroon ang mga attacker ng kakayahang maghanap at gumamit ng armas para sa mga kahinaan nang mas mabilis kaysa sa kayang tumugon ng mga tagapagtanggol at karamihan sa mga software vendor.

Gumagana ang responsableng pagsisiwalat kapag ang mga kahinaan ay isa-isang lumilitaw, naiulat sa isang vendor, at naaayos sa isang makatwirang timeline. Nakatuklas ang Mythos ng libu-libong kritikal na kahinaan sa loob ng ilang linggo, nang mag-isa, sa bawat pangunahing operating system at browser nang sabay-sabay. Ang disclosure pipeline ay hindi idinisenyo para sa dami na iyon. Ang mga vendor na tumatanggap ng mga responsableng abiso sa pagsisiwalat para sa dose-dosenang kritikal na mga depekto nang sabay-sabay ay nahaharap sa mga desisyon sa triage na hindi pa nila nagawa noon, na may kapasidad sa engineering na hindi pa nasusukat upang tumugma sa rate ng pagtuklas.

May isang makabuluhang pagbabago. Bagama't nakakahanap ang Mythos ng mga kahinaan, nagmumungkahi rin ito ng mga solusyon para sa mga ito. Para sa mga organisasyon sa loob ng Glasswing, ang parehong AI na nakahanap ng daan-daang problema ay nagbigay din ng solusyon sa engineering. Isa itong tunay na paraan para sa mga organisasyong nasa 40 hanggang 50. Para sa lahat, tumatakbo ang oras nang walang kalamangang iyon.

Ang iyong mga kliyente ay nasa ilalim ng impluwensya ng lahat ng ito. Ang mga SaaS tool na kanilang pinagkakatiwalaan araw-araw, ang mga cloud platform na nagpapatakbo ng kanilang data, ang mga browser na binubuksan ng kanilang mga empleyado tuwing umaga, lahat ay may mga kahinaan na maaaring malaman ng mga kalaban bago pa man magkaroon ng oras ang vendor na i-patch ang mga ito.

Abangan ang isang maagang senyales na ang kakayahan ng Mythos-class ay nakarating na sa mga kamay ng mga kaaway: isang hindi pangkaraniwang pagtaas sa mga zero-day disclosure sa maraming vendor sa isang maikling panahon, partikular na nakakaapekto sa mga operating system, browser, at malawakang naka-deploy na mga platform ng SaaS nang sabay-sabay. Ang pattern na iyon, higit pa sa anumang headline, ay ang kanaryo. Kapag nakita mo ito, ang tanong tungkol sa paglaganap ay masasagot na ang sarili nito.

NAGBAGO ANG ISANG ZERO-DAY ECONOMY

Ang paghahanap ng isang tunay na zero-day ay ayon sa kasaysayan ay nangangailangan ng piling talento ng tao, malaking oras, at malalim na espesyalisasyon. Ang kakulangang iyon ay lumikha ng isang limitado at magastos na pamilihan. Ang mga estadong-bansa ay nagbayad ng sampu-sampung milyong dolyar para sa maaasahang zero-days. Maingat na inimbak ang mga ito ng mga grupong kriminal dahil magastos ang mga ito makuha at mahalagang pangalagaan. Itinuring ng NSA, GRU, at mga katumbas na ahensya ang kanilang mga imbentaryo ng zero-day bilang mga estratehikong asset, na pinipili ang mga ito upang maiwasan ang pagkaubos ng mga kakayahan nang wala sa panahon.

Ang istrukturang pang-ekonomiya na iyon ay nakabatay sa isang palagay: mahirap ang pagtuklas. Tinapos na ni Claude Mythos ang premisang iyan.

Kapag ang gastos sa pagtuklas ay papalapit sa zero, ang bilang ng mga exploit na kumakalat ay sasabog. Ang mga bagong kalaban na dating kulang sa talento o mapagkukunan upang lumahok sa mga opensibong operasyon ay mayroon na ngayong paraan upang makamit ang pareho. Ang mga grupong kriminal na dating nagrarasyon ng kanilang mga zero-day dahil mahal ang pagkuha ay hindi na nahaharap sa hadlang na iyon. Ang mga nation-state na kulang lamang sa mga exploit na susunugin, ay mayroon nang kasing dami ng kailangan nila ngayon. Ang hadlang sa pagpasok para sa mga sopistikadong pag-atake ay bumaba nang napakalaki, at hindi na ito muling ibabalik.

ANG REGULATORYAL NA REALIDAD

Ang tapat na sagot kung mapipigilan ba ng internasyonal na regulasyon ang bantang ito ay: hindi sa tamang panahon, at hindi sa komprehensibong paraan. Hindi iyan sinisismo. Ito ang dokumentadong padron ng bawat pangunahing hamon sa pamamahala ng dual-use technology sa modernong kasaysayan.

Nahuli ng isang dekada ang pag-deploy ng patakaran sa kriptograpiya, kung saan ang encryption ay itinuturing na isang munisyon sa ilalim ng mga kontrol sa pag-export ng armas hanggang sa dekada 1990 habang ang komersyal na internet ay itinatayo na sa paligid nito. Ang mga pinsala ng social media sa isang henerasyon ng mga kabataan ay ngayon pa lamang tinutugunan ng batas, matagal na matapos ang pinsalang nagawaMga kasunduan sa mga awtonomong armas mananatiling hindi kumpleto sa kabila ng isang dekada ng negosasyon ng UN, kung saan hinaharangan ng mga pangunahing kapangyarihan ang mga umiiral na kasunduan habang inilalapat ang mga sistemang pinag-uusapan. Sa bawat kaso, mas mabilis na kumilos ang teknolohiya kaysa sa mga institusyong idinisenyo upang pamahalaan ito. Sa mga modelo ng wika ng AI, mas matalas pa ang pagbilis, na pumipigil sa oras na magagamit upang masuri, ipagtanggol, at umangkop sa mga panganib bago pa man ito mangyari nang malawakan.

Tinutugunan ng EU AI Act ang mga kinakailangan sa pag-uuri ng panganib at transparency. Hindi ito lumilikha ng isang makabuluhang internasyonal na balangkas para sa pagkontrol sa paglaganap ng mga kakayahan sa opensiba na Mythos-class. Ang Estados Unidos ay may mga utos ehekutibo at boluntaryong pangako mula sa mga pangunahing developer ng AI. Ang mga boluntaryong pangako ay hindi nagbibigkis sa mga developer na piniling hindi lumahok, at hindi nito binibigkis ang mga kalaban na nakakakuha ng kakayahan sa pamamagitan ng ibang paraan.

Gumawa ang Anthropic ng dalawang etikal na linya na dapat tandaan. Tumanggi itong payagan ang mga modelong Claude nito sa ganap na autonomous na mga sistema ng armas, at tumanggi itong payagan ang malawakang pagsubaybay sa loob ng bansa ng mga mamamayang Amerikano. Dario Amodei ay nagsabi na ang paggamit ng AI para sa malawakang pagsubaybay sa loob ng bansa ay "hindi tugma sa mga demokratikong halaga," at ang mga modelo ng AI sa hangganan ngayon ay "hindi sapat na maaasahan" para sa ganap na autonomous na mga armas. Ang tugon ng Pentagon ay label na Anthropic isang panganib sa supply chain noong unang bahagi ng Marso, isang pagtatalaga na nakalaan para sa mga dayuhang kalaban, hindi para sa mga kumpanyang Amerikano na hindi sumasang-ayon sa patakaran ng gobyerno. Nagsampa ng kaso si Anthropic, at isang pederal na hukom ng California binigyan ng paunang utos na mag-utos noong huling bahagi ng Marso, isinulat na ang gobyerno ay walang batayan ayon sa batas upang tawagin ang isang Amerikanong kumpanya bilang banta sa pambansang seguridad dahil sa hindi pagsang-ayon sa patakaran. Noong Abril 8, ang DC Circuit Court of Appeals tumangging ihinto ang pagtatalaga habang nagpapatuloy ang litigasyon, iniiwan ang etiketa sa lugar na may mga oral argument na nakatakdang isagawa sa Mayo 19. Ang kumpanyang pumiling i-lock ang pinaka-may kakayahang AI sa pagtuklas ng kahinaan na nagawa ay nilalabanan na ngayon ang sarili nitong gobyerno sa dalawang pederal na korte dahil sa pagkakaroon ng mga pamantayan sa kaligtasan.

Ang mga responsableng aktor na nagpipigil sa kanilang sarili ay nakakabili ng oras. Hindi ito nakakabili ng permanenteng kaligtasan. Ang kapaligirang pangregulasyon na patatakbuhin ng iyong mga kliyente sa susunod na ilang taon ay isa kung saan ang pinakamalakas na opensibong kagamitan ng AI ay nominal na kinokontrol, halos dumarami, at pinamamahalaan ng mga balangkas na idinisenyo para sa isang mas mabagal na kapaligiran ng banta.

Dagdag pa sa presyur na iyan: ang mga kumpanyang bumubuo ng mga modelong ito ay wala sa maayos na posisyon upang ipagtanggol laban sa mga estadong-bansa na pinaka-motibadong nakawin ang mga ito. Ang Anthropic, OpenAI, at ang kanilang mga kapantay ay mga kumpanya ng software na may matibay na kultura sa inhinyeriya at lumalaking mga pangkat ng seguridad. Hindi sila mga ahensya ng paniktik. Ang parehong mga estadong-bansa na matagumpay na nakatuklas ng mga sikretong nukleyar, intelektwal na ari-arian ng kontratista ng depensa, at mga klasipikadong file ng gobyerno sa nakalipas na dalawang dekada ngayon ay may iisa at malinaw na target. Ang isang modelo tulad ng Mythos, na kapag ninakaw, ay hindi nangangailangan ng pagmamanupaktura, walang supply chain, at walang karagdagang gastos sa pag-develop. Agad itong kinokopya at gumagana nang malawakan mula sa sandaling mapunta ito sa mga kamay ng kaaway. Ang tanong kung maipagtatanggol ba ng mga kumpanyang ito ang kanilang mga hiyas sa korona laban sa isang matiyaga at mahusay na resources na aktor ng estadong-bansa ay isa na hindi pa nasagot nang kumbinsido ng industriya.

ANG DIMENSYON NG BANSA-ESTADO

Ang Iran, China, Russia, at North Korea ay pawang nagpapatakbo ng mga sopistikadong opensibong programa sa cyber. Nagpapanatili sila ng mga zero-day stockpile at naipakita ang kahandaan at kakayahang magsagawa ng mga mapanirang pag-atake laban sa mga sibilyang imprastraktura sa maraming pampublikong akusasyon, mga ulat ng attribution, at mga pagsusuri pagkatapos ng insidente.

Hindi binibigyan ng Mythos ang mga aktor na ito ng isang bagay na kulang sa kanilang konsepto. Kapag nakuha na, maging sa pamamagitan ng pagnanakaw o komersyal na pag-access sa mga kakumpitensya ng Mythos na nakakahabol, binibigyan sila nito ng laki, bilis, at isang istruktura ng gastos na nag-aalis ng mga limitasyon sa mapagkukunan na dating naglimita sa kanilang tempo sa pagpapatakbo.

Ang mga target na dating itinuturing na napakaliit o napakahirap bigyang-katwiran ang pamumuhunan ay nagiging matipid kapag ang pagtuklas at paggawa ng armas ay halos walang gastos. Ang iyong mga kliyente sa midmarket, isang rehiyonal na tagagawa, isang network ng pangangalagang pangkalusugan, isang kompanya ng serbisyong pinansyal na may 200 empleyado, ay nakinabang sa kasaysayan mula sa isang bersyon ng seguridad sa pamamagitan ng kalabuan. Hindi dahil malakas ang kanilang mga depensa, kundi dahil ang pagkompromiso sa kanila ay nangangailangan ng pagsisikap na maaaring mas mahusay na magamit sa mga target na mas mataas ang halaga. Nagbabago ang calculus na iyon kapag ang mga tool na uri ng Mythos ay ginagawang mura ang kompromiso sa malawakang saklaw.

Ang kritikal na imprastraktura ang siyang nagpapakita ng pinakamatinding panganib. Ang mga power grid, mga sistema ng paggamot ng tubig, mga network ng ospital, at mga sistema ng financial clearing ay pawang nagpapatakbo ng software sa labas ng koalisyon ng Glasswing. Marami ang nagpapatakbo ng legacy code na hindi pa na-audit sa loob ng maraming taon sa imprastraktura na hindi kailanman idinisenyo nang isinasaalang-alang ang mga modernong aktor ng banta. Ang isang kalaban na may kakayahang Mythos-class at walang interes sa responsableng pagsisiwalat ay hindi kailangang pumili ng isang target na may mataas na halaga. Ini-scan nila ang lahat, hinahanap ang lahat, at inuuna sa ibang pagkakataon.

Ang konsepto ng mutual assurance destruction ay gumana bilang isang hadlang sa nukleyar dahil naunawaan ng magkabilang panig na ang paghihiganti ay tiyak at simetriko. Hindi nagkakaroon ng mga katangiang iyon ang cyber conflict. Mahirap ang attribution. Hindi malinaw ang mga limitasyon ng paghihiganti. Maraming mapaminsalang pag-atake ang idinisenyo upang manatili sa ibaba ng limitasyon ng armadong tunggalian.Ang Mythos-class offensive AI ay lumilikha ng isang bagong anyo ng kawalan ng parusa para sa mga aktor na handang kumilos nang mas mababa sa limitasyon ng paghihiganti, na siyang naglalarawan sa karamihan ng mga operasyon sa cyber ng bansa-estado na isinasagawa ngayon.

ANO ANG TUNAY NA NAGBAGO

Maraming matagal nang palagay sa seguridad ng negosyo ang hindi na maaasahan sa operasyon at sulit na direktang pangalanan.

Ang palagay na ang perimeter defense ay nagbibigay ng makabuluhang proteksyon ay hinamon sa loob ng maraming taon, at ang zero-trust architecture ang naging tugon ng industriya. Ang bago ay ang bilis ng pagtuklas at paggamit ng mga kahinaan sa perimeter. Ang zero-trust ay nananatiling tamang balangkas. Ang pagkaapurahan ng ganap na pagpapatupad nito ay tumaas.

Ang palagay na ang mga compliance framework ay humigit-kumulang sapat na seguridad ay palaging hindi perpekto. Ang isang kliyente na nakumpleto ang kanilang SOC 2 audit noong nakaraang quarter at itinuturing ang kanilang sarili na sakop ay kumikilos batay sa maling pakiramdam ng katiyakan. Inilalarawan ng mga compliance framework ang isang baseline na idinisenyo sa paligid ng isang mas mabagal at mas magastos na kapaligiran ng banta.

Ang palagay na ang maliliit at katamtamang laki ng mga organisasyon ay mga target na mababa ang prayoridad dahil ang kompromiso ay nangangailangan ng pamumuhunan ay nasira. Hindi na pinoprotektahan ng laki at gastos ang kalabuan.

Ang palagay na ang software mula sa mga kagalang-galang na vendor ay may makatwirang kaligtasan dahil matagal na itong ginagawa at nakayanan ang pagsusuri ng mga eksperto ay nasira. Isang 27-taong-gulang na kahinaan sa OpenBSD ang nakaligtas sa mga dekada ng pag-audit ng mga eksperto. Natagpuan ito ng Mythos sa loob ng ilang oras. Ang bawat piraso ng software na pinapatakbo ng iyong mga kliyente ay may parehong kawalan ng katiyakan, anuman ang reputasyon o edad nito.

Ang palagay na ang pamamahala ng patch ay isang regular na gawain sa operasyon sa halip na isang estratehikong prayoridad ay kailangang itigil na. Ang patch cadence ngayon ay isang pangunahing desisyon sa pamamahala ng peligro.

ANG STATUS QUO NA WALA NA

Mahalagang banggitin nang malinaw kung ano ang mga nagbago, dahil ang industriya ng seguridad ay may tendensiyang unti-unting tumanggap ng mga bagong banta nang hindi humihinto sa pagsasabing: iba ang isang ito.

IKAANIM PITONG AKSYON NA DAPAT UPANG PRIYORIDADHIN SA MGA KLIYENTE NGAYON

1. I-compress ang patch cycle at gawin itong isang pag-uusap sa antas ng board.
   
   Gumuho na ang pagitan ng umiiral na kahinaan at ng isang umaatake na ginagamit ito bilang armas. Hindi na maipagtatanggol ang buwanang pag-patch. Ang lingguhang mga ritmo para sa mga kritikal na sistema, awtomatikong pag-patch kung saan sinusuportahan ito ng mga kapaligiran, at isang malinaw na prosesong pagmamay-ari para sa mga emergency patch sa labas ng normal na siklo ang bagong batayan. Ituring ito sa pamumuno bilang pamamahala ng panganib sa pagpapatakbo. Kapag ang mga tool na may Mythos class ay nakahanap ng isang dekada nang kahinaan sa halagang limampung dolyar at nagpanukala ng isang gumaganang exploit sa parehong sesyon, ang isang naantalang patch ay isang desisyon sa pagpapatuloy ng negosyo na nakaupo sa pila ng IT.
   
2. Suriin at bawasan ang ibabaw ng pag-atake nang may bagong pagmamadali.
   
   Ang bawat nakalantad na serbisyo, lumang aplikasyon, nakalimutang API, at hindi pinamamahalaang endpoint ay isa na ngayong pananagutan na may mas maikling kapaki-pakinabang na buhay. Magsagawa ng panibagong imbentaryo sa bawat kliyente ngayong quarter. Unahin ang mga external-facing system. Ang isang kalaban na may kakayahang Mythos-class ay hindi kailangang pumili ng target. Ini-scan nila ang lahat, hinahanap ang lahat, at inuuna ang mga ito sa ibang pagkakataon. Huwag mag-iwan ng isang bagay na madaling mahanap.
   
3. Ilipat ang usapan ng kliyente mula sa perimeter defense patungo sa breach assumption.
   
   Ang mga organisasyong pinakamapanganib ay ang mga patuloy na kumikilos sa paniniwalang ang isang matibay na perimeter ay pumipigil sa mga umaatake na makapasok. Ang mga kliyenteng pinakamahusay na makakaraos ay namuhunan na sa mga kontrol sa pagkakakilanlan, pagsubaybay sa pag-uugali, arkitektura na may pinakamababang pribilehiyo, at mga nasubukang plano sa pagtugon sa insidente. Ilarawan ito nang malinaw sa pamumuno: ang tanong ay hindi na kung ang isang sopistikadong pag-atake ay nakakarating sa kanilang kapaligiran. Ang tanong ay kung gaano kalaking pinsala ang nagagawa nito pagdating, at kung gaano kabilis nila itong natutukoy at nakokontrol. Ang isang nasubukang plano sa pagtugon sa insidente ay hindi isang dokumento ng pagsunod. Ito ang pagkakaiba sa pagitan ng isang maaaring mabawi na paglabag at isang hindi na mababawi.
   
4. BAGONG: Suriin ang pagpapanatili ng datos at paliitin ang target bago pa man ito mapresyuhan para sa iyo ng isang paglabag.
   
   Bawasan ang iyong bakas ng datos sa pamamagitan ng pagtulong sa iyong mga kliyente na lumikha at magsagawa ng patakaran sa pagpapanatili ng datos. Tutukuyin ng mga hacker na gumagamit ng mga tool na pang-Mythos kung gaano karaming datos ang mayroon ka at ninanakaw (i-exfiltrate) ito. Ang isang kliyente na nag-iimbak ng 25 taon ng mga rekord ay nangangailangan ng mas malaking bayad na pantubos kaysa sa isang kliyente na nag-iimbak lamang ng limang taon. Ang pasanin ng abiso pagkatapos ng isang paglabag ay direktang sumasaklaw sa mga rekord na nalantad. Gayundin, ang legal na pananagutan at oras ng pagbawi. Ang mga cyber insurance carrier ay may presyo rin nito. Ang mas maikling mga patakaran sa pagpapanatili ay nangangahulugan ng mas mababang mga premium at mas maliliit na kahihinatnan ng paglabag para sa iyong mga kliyente. Tulungan ang mga kliyente na tukuyin ang isang iskedyul ng pagpapanatili na nagpapanatili lamang ng kung ano ang kinakailangan ng pagsunod o pangangailangan ng negosyo at wala nang iba. Ang mga rekord na wala ay hindi maaaring nakawin, matubos, o ibunyag.
   
5. Labanan ang mga atakeng pinapagana ng AI gamit ang depensang pinapagana ng AI.
   
   Ang parehong pagbabago sa kakayahan na nagpapapanganib sa Mythos sa opensa ay nangyayari rin sa depensa, at kailangang nasa tamang panig ang iyong mga kliyente sa aspetong iyan. Ang AI-powered endpoint detection, behavioral anomaly monitoring, at automated threat-hunting tools ay hindi na mga pamumuhunan para sa mga enterprise lamang. Ang mga AI-assisted scanning tools ay dapat gamitin at depensahan habang lumalabas ang mga ito sa merkado. Pinalalawak ng mga tool na ito ang saklaw ng iyong programa sa seguridad nang higit pa sa manu-manong sakop ng anumang pangkat ng tao, na patuloy na tumatakbo at nagpapaikli sa pagitan ng kompromiso at pagtuklas. Hindi kailangang maunawaan ng iyong mga kliyente kung paano gumagana ang AI. Kailangan nila itong patakbuhin at i-tune bago muna mahanap ng AI ng isang umaatake ang anumang mga puwang.
   
6. Suriin ang vendor stack nang may parehong pagmamadali na inilalapat mo sa sariling kapaligiran ng kliyente.
   
   Hindi maaaring i-patch ng iyong mga kliyente ang software na hindi nila kontrolado. Ang magagawa nila ay magtanong ng mga mahihirap na tanong sa bawat kritikal na vendor ng SaaS ngayong quarter. Lumahok ba sila sa anumang programa ng pag-scan ng seguridad na tinulungan ng AI? Ano ang kanilang timeline ng pagsisiwalat ng patch? Ano ang kanilang pangako sa abiso ng insidente kung sakaling magkaroon ng zero-day discovery? Tinutukoy ng mga sagot kung aling mga vendor ang kumakatawan sa tinatanggap na panganib at alin ang kumakatawan sa hindi katanggap-tanggap na pagkakalantad. Ang mga vendor sa loob ng koalisyon ng Glasswing o mga programang nagpapatakbo ng mga katumbas na programa ay kumakatawan sa isang mas mababang profile ng panganib kaysa sa mga hindi nakipag-ugnayan sa pagtuklas ng kahinaan na tinulungan ng AI. Isama ang pagtatasa na iyon sa proseso ng pagsusuri ng vendor ng bawat kliyente ngayon, at bisitahin muli ito taun-taon nang hindi bababa sa.
   
7. Gawing human-layer answer ang phishing resistance at MFA enforcement sa AI-driven na solusyon ng AI
   pagtuklas ng kahinaan.
   
   Kapag ang mga kahinaang teknikal ay naging madali nang hanapin at gawing armas, ang mga umaatake ay tumatahak sa landas na pinakamadali. Ang landas na iyon ay patuloy na dadaan sa mga tao. Ang isang tool na may Mythos class ay nahahanap ang naka-lock na pinto sa software. Ang isang mahusay na ginawang phishing email ay nagbibigay sa umaatake ng susi sa bawat pinto nang sabay-sabay. Ang pagpapatupad ng phishing-resistant MFA sa bawat kapaligiran ng kliyente, pag-aalis ng muling paggamit ng password, at pagpapatakbo ng mga regular na phishing simulation ay ang mga kontrol na human-layer na naglilimita sa nagagawa ng isang umaatake kahit na matapos mahanap ng kanilang AI ang teknikal na butas.

ANG MGA PUWANG MAHALAGA

Ang pitong rekomendasyon sa itaas ay panimulang punto, hindi isang linya ng pagtatapos. Ang mga organisasyong makakaraos nang buo sa panahong ito ay iyong mga organisasyong ang seguridad ay nakabatay na sa palagay na nangyayari ang mga paglabag, na ang bilis ng pagtuklas ay mas mahalaga kaysa sa pagiging perpekto ng pag-iwas, na pinaghihiwalay ang mga network at data mula sa isa't isa, at kung saan ang mga kakayahan sa pagbawi ay isang pangunahing prayoridad at asset ng negosyo.

Ang mga propesyonal na itinuturing ang seguridad bilang isang patuloy na disiplina sa pagpapatakbo sa halip na isang taunang pagsasanay sa pagsunod ay hindi ligtas sa kinakatawan ng Mythos. Nasa mas mahusay silang posisyon upang maunawaan ito, tumugon dito, at makabangon mula rito nang mas mabilis kaysa sa mga hindi.

Hindi na abstrakto ang mga babala, at hindi na malayo ang mga pagkagambala. Wala na sa bote ang genie at bukas na ang Pandora's Box. Ang tila science fiction noong nakaraang taon ay isang dokumentadong resulta ng pagsusuri ngayon. Kung hindi pa nauunawaan ng iyong mga kliyente ang realidad na iyan, ang pag-uusap mo sa kanila ngayong quarter ang pinakamahalagang nangyari sa loob ng maraming taon. Ang agwat na iyon, sa pagitan ng handa at hindi handa, ang tanging mahalaga ngayon. Trabaho mo na tapusin ito.

---

Pinagmumulan:

• SecureWorld Mayo 6, 2026: Sinusuri ng CAISI ng US ang lahat ng Frontier Models para sa Seguridad at Kaangkupan
• CNN Business, Mayo 2024 – Warren Buffett tungkol sa AI sa taunang pagpupulong ng Berkshire Hathaway
• Unibersidad ng Cambridge, Oktubre 2016 – Stephen Hawking tungkol sa Panganib ng AI
• NPR, Mayo 2023 – Nagbabala si Geoffrey Hinton, 'Ang Ninong ng AI', Tungkol sa mga Potensyal na Panganib ng AI
• GatesNotes.com, Hulyo 2023 – Ang mga Panganib ng AI ay Totoo Ngunit Mapapamahalaan
• Pagsisiwalat sa kaligtasan ng antropiko, Pebrero 2026 – Claude Mythos, Project Glasswing, pagsasamantala ng datos, sandbox
  pagtakas, at mga insidente ng panloob na pagkakalantad
• Panganib sa Antropikong Supply Chain, Marso 4, 2026 – Tinatawag ng Pentagon ang Panganib ng Antropikong Supply Chain
• Injunction ng Anthropic Supply Chain, Marso 27, 2026 – Hinaharangan ng Antropikong Pederal na Hukom ang Panganib sa Supply Chain
• Nawala ang Anthropic sa Apela sa Panganib ng Supply Chain, Abril 8, 2026, Ang Antropiko ay Nanatiling May Label na Panganib sa Supply Chain
• Kriptograpiya: Bagong Amerika, Hunyo 2015 – Nakatakdang Ulitin ang Kasaysayan? Mga Aral mula sa Digmaang Crypto
  ng dekada 1990
• Kagawaran ng Kalusugan at Serbisyong Pantao ng Estados Unidos, Pebrero 2025 – Payo ng Surgeon General sa Panlipunan
  Media at Kalusugang Pangkaisipan ng Kabataan
• Asosasyon ng Pagkontrol ng Armas, Enero 2025 Geopolitika at Regulasyon ng mga Awtonomong Armas
  Systems
• Batas sa Artipisyal na Katalinuhan ng EU, Pebrero 2024 – Buod ng Mataas na Antas

---

I-secure ang iyong negosyo sa CyberHoot Ngayon!