Ha eddig azt hitted, az AI-s kiberbiztonság főleg arról szól, hogy gyorsabban írunk szabályokat a tűzfalra, itt egy jóval „infrastruktúra-szintű” fordulat: egy nagy modell most közvetlenül azoknak a kódbázisoknak esik neki, amelyekre országok és iparágak támaszkodnak.

Mi történt

Az Anthropic bővíti a Project Glasswing nevű iparági együttműködését: nagyjából 150 új szervezet kap hozzáférést a Claude Mythoshoz több mint 15 országban. A kezdeményezés célja, hogy AI segítségével találjanak és javítsanak kritikus szoftversebezhetőségeket.

A program középpontjában a Claude Mythos áll, amelyet a cég a legerősebb modelljeként pozicionál, és állítása szerint több héten át futtatva képes lehet „zero-day” (azaz még nem ismert, ezért javítás nélküli) sebezhetőségek ezreit azonosítani. Április elején 50 kezdeti partner – köztük az amerikai kormány – kapott hozzáférést a Mythos Preview változathoz, hogy átvizsgálják vele a saját kódbázisaikat (gondolj erre úgy, mint egy nagyon gyors, fáradhatatlan biztonsági auditorra, aki nem csak mintákat keres, hanem összefüggéseket is ért).

Most olyan szektorok is bekerülnek, amelyek korábban kevésbé voltak jelen: energia, víziközművek, egészségügy, kommunikáció és hardver. Külön hangsúly, hogy sok új résztvevő olyan kódbázisokat tart fenn, amelyekre más szervezetek és kormányok is építenek – vagyis nem csak „egy cég belügye”, ha ott hiba marad.

Miért fontos

A kritikus infrastruktúrák szoftvere tipikusan nem látványos termék, hanem alapréteg: ha sérül, nem egy app áll le, hanem szolgáltatások láncolata. Egy sebezhetőség a villamosenergia-elosztásban, a kórházi rendszerekben vagy egy széles körben használt identitáskezelőben (például beléptetés, jogosultságok) gyorsan túlmutat a technológián. A program logikája az, hogy az AI-t ott érdemes bevetni, ahol a kód komplex, a támadási felület óriási, és a manuális audit nem skálázódik – miközben a hibák ára extrém magas.

Mire figyelj

  1. Hozzáférési és kontrollkérdések: egy ilyen modellnek mélyen bele kell látnia kódbázisokba. Kulcskérdés, hogyan történik az adatkezelés, a naplózás, és ki fér hozzá az eredményekhez.
  2. „Találat” vs. valódi kockázat: az AI sok potenciális hibát jelezhet, de a prioritás (mi kihasználható, mi kritikus) továbbra is emberi és szervezeti döntés. Érdemes figyelni, hogyan csökkentik a téves riasztásokat és hogyan mérik a valós javulást.
  3. Versenyfutás a képességekért: a TechCrunch anyagában szereplő vállalati várakozás szerint más AI-cégek hamar elérhetik ezt a szintet; közben az OpenAI már piacra is vitte a GPT-5.5-Cyber modellt partneri tesztelésre. A következő hónapokban az lesz beszédes, ki tud jobb biztonsági „korlátokat” és felelős bevezetési gyakorlatot felmutatni, nem csak erősebb detektálást.