Dasbor CVD Project Glasswing Anthropic: Claude Mythos Preview Mengungkapkan 1.596 Kerentanan di 281 Proyek Open-Source

Pada 22 Mei 2026, Anthropic menerbitkan pembaruan awal untuk Project Glasswing dan meluncurkan dasbor Coordinated Vulnerability Disclosure (CVD) publik yang menunjukkan bahwa Claude Mythos Preview telah secara otonomi menemukan lebih dari 10.000 kerentanan dengan tingkat keparahan tinggi atau kritis di seluruh perangkat lunak yang banyak digunakan, dengan 1.596 diungkapkan kepada pengelola di 281 proyek open-source dengan tingkat true-positive 90,8% yang dikonfirmasi oleh firma penelitian keamanan eksternal termasuk Trail of Bits, ADA Logics, dan Calif.io. Dari temuan yang diungkapkan, 97 telah diperbaiki dan 88 telah diberi pengenal CVE atau GHSA; CVE-CVE terkenal mencakup RCE FreeBSD berusia 17 tahun (CVE-2026-4747) dan kerentanan Firefox yang ditemukan dalam kolaborasi dengan Mozilla. Model ini tetap dibatasi untuk ~50 organisasi mitra (AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, JPMorgan Chase) di bawah akses terkontrol, karena Anthropic secara permanen menahan rilis publik dengan alasan risiko senjatisasi yang katastrofal.

Ini adalah publikasi vendor pertama yang mendokumentasikan penemuan kerentanan otonomi yang didukung AI dalam skala besar dengan tingkat true-positive yang divalidasi oleh firma eksternal; hal ini secara fundamental mengubah ekonomi penelitian kerentanan ofensif dan defensif. Hambatan telah bergeser dari menemukan kerentanan ke triase patch kecepatan manusia dan koordinasi — analisis Cloudflare terhadap Mythos mencatat bahwa ia secara otonomi membangun rantai eksploit multi-bug, dan pengelola telah meminta Anthropic untuk memperlambat pengungkapan karena kapasitas patching adalah kendala baru. Tim keamanan harus sekarang merencanakan penurunan patch rate-ledakan dari OSS fundamental (browser, pustaka TLS, kernel) karena jendela pengungkapan 90 hari mulai menutup.

Semua organisasi yang bergantung pada perangkat lunak open-source untuk infrastruktur AI atau penggunaan umum harus meningkatkan pemantauan patch-cadence untuk Firefox, wolfSSL, nginx, FreeBSD, libyang, mastodon, dan freerdp. Tim keamanan yang mengevaluasi AI frontier untuk penemuan kerentanan harus memperlakukan TPR 90,8% Glasswing sebagai tolok ukur referensi untuk program in-house serupa. CISO harus memberikan penjelasan kepada dewan mereka bahwa kompresi patch-window — dari pengungkapan CVE ke eksploit yang berfungsi — sekarang diukur dalam hitungan jam, bukan minggu.