Proyek Glasswing Anthropic: Claude Mythos Preview Mendemonstrasikan Penemuan Kerentanan Berbasis AI Skala Produksi

Anthropic menerbitkan pembaruan pertama dari Project Glasswing pada 22 Mei 2026, mengungkapkan bahwa model Claude Mythos Preview yang dibatasi — disebarkan ke sekitar 50 mitra termasuk Microsoft, Apple, Google, dan Cloudflare — menemukan lebih dari 10.000 kerentanan tingkat tinggi dan kritis di seluruh perangkat lunak kritis dalam bulan pertama operasinya. Mitra melaporkan tingkat penemuan bug meningkat lebih dari 10× dibandingkan metode sebelumnya; Cloudflare sendiri menemukan 2.000 bug (400 tingkat tinggi/kritis) dengan tingkat positif palsu lebih baik daripada penguji manusia. Mythos Preview dapat membangun rantai eksploit multi-tahap secara otonom — menggabungkan primitif tingkat rendah menjadi serangan tingkat tinggi — dan menghasilkan bukti konsep yang berfungsi dalam loop yang memperbaiki diri. UK AI Security Institute mengonfirmasi bahwa Mythos Preview adalah model pertama yang sepenuhnya menyelesaikan kedua rentang simulasi serangan siber multi-langkah secara menyeluruh. Anthropic meluncurkan Claude Security (Opus 4.7) dalam beta publik untuk perusahaan yang tidak berada dalam konsorsium Glasswing yang dibatasi, yang telah membantu menambal 2.100 kerentanan korporat.

Ini adalah bukti empiris paling jelas sejauh ini bahwa penemuan kerentanan berbasis AI telah melampaui ambang batas kualitatif: hambatan bukan lagi menemukan bug tetapi memverifikasi, mengoordinasikan, dan menambal lebih cepat daripada penyerang dapat memanfaatkan kemampuan yang sama. Organisasi yang beroperasi di bawah rejimen pemindaian triwulanan atau jendela pemeliharaan bulanan secara struktural tidak siap; data M-Trends 2026 Mandiant yang dikutip dalam pengungkapan menunjukkan penyerang sekarang memanfaatkan kerentanan rata-rata 7 hari *sebelum* patch dirilis. Karena Mythos ditahan dari ketersediaan umum, pembela yang beroperasi dalam konsorsium Glasswing memiliki keuntungan asimetris yang tidak akan bertahan selamanya karena penyerang mendapatkan akses ke model pasar terbuka atau Tiongkok yang sebanding.

Semua perusahaan harus segera meninjau SLA manajemen patch terhadap baseline eksploitasi 7-hari-pra-patch, memprioritaskan pengungkapan Glasswing CVE (dilacak melalui NVD) saat dibuat publik selama jendela pengungkapan terkoordinasi 90 hari mendatang, dan mengevaluasi beta publik Claude Security Anthropic untuk remediasi berbasis bantuan. Firma layanan keuangan, kesehatan, dan infrastruktur kritis harus menginformasikan dewan bahwa tingkat pengungkapan kerentanan tingkat tinggi akan terus meningkat secara material untuk sisa tahun 2026.