Amikor az Apple, a Google és a Microsoft ugyanabba az irányba kezd húzni, az ritkán „jófejségből” történik. A Project Glasswing inkább annak a jele, hogy a sebezhetőségek felfedezése és kihasználása közti időablak vészesen összezuhant.

Mi történt

A ZDNet beszámolója szerint az Anthropic elindította a Project Glasswing nevű kezdeményezést, amelyben szokatlanul széles koalíció állt össze „a világ legkritikusabb szoftverének” védelmére. A résztvevők között ott van Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, a Linux Foundation, Microsoft, Nvidia és a Palo Alto Networks.

A projekt két fő „eszközre” épít: egyrészt egy nem publikált, általános célú frontier (csúcskategóriás) modellt használnak, amelyet az Anthropic Claude Mythos Preview néven említ. Másrészt komoly erőforrás is társul hozzá: a cikkben idézett részletek szerint 4 millió dollár közvetlen adomány és 150 millió dollárnyi Claude-használati kredit kerül a kezdeményezés mögé.

A Mythos Preview-t az Anthropic úgy jellemzi, mint egy általános célú, még ki nem adott modellt, amelynek erőssége az „agentic” kódolás és érvelés. Gondolj erre úgy, mint egy AI-ra, ami nem csak válaszol egy kérdésre, hanem képes több lépésen át „dolgozni”: kódot olvas, következtet, hipotéziseket tesztel, és iterál. Fontos részlet: az Anthropic állítása szerint nem kifejezetten kiberbiztonságra tréningezték, és nem is tervezik széles körben elérhetővé tenni – vélhetően azért, mert könnyen „fegyverré” válhat támadók kezében.

A fenyegetés súlyát jól összefoglalja a CrowdStrike CTO-ja, Elia Zaitsev, akit a cikk idéz: „az a rés, ami a sebezhetőség felfedezése és a támadói kihasználás között van, összeomlott; ami korábban hónapok volt, ma percekben mérhető AI-jal.”

Miért fontos

Ez a történet nem csak arról szól, hogy „AI segít hibákat találni”. A lényeg a sebesség és a méret: ha a támadók AI-val automatizálják a hibakeresést, exploit-írást (a kihasználó kód elkészítését) és a célpontok feltérképezését, akkor a védekezés klasszikus ritmusa – bejelentés, elemzés, patch, frissítési ciklus – egyszerűen lemaradhat.

A Project Glasswingben az az igazán beszédes, hogy közös infrastruktúra-kockázatról beszélünk. Ezek a cégek ugyan versenytársak, de rengeteg mindenben egymásra vannak utalva: nyílt forráskódú komponensek (például Linux-ökoszisztéma), felhős és vállalati szoftver-stackek, hálózati eszközök, biztonsági termékek. Ha ezekben tömegesen és gyorsan kihasználható hibák maradnak, az mindenkinek fáj – és nem piaci részesedésben, hanem üzemkiesésben, ellátási láncban és bizalomban.

A cikk felveti a „PR vagy kartell?” kételyt is, de a bemutatott jelek (nem publikus modell, nagy értékű kreditek, széles iparági összefogás) inkább arra utalnak, hogy a szereplők szerint a kockázat már nem kényelmetlen, hanem rendszerszintű.

Mire figyelj

  1. Lesz-e kézzelfogható eredmény és mérőszám? Érdemes figyelni, hogy a projekt publikál-e adatokat: hány sebezhetőséget találtak, milyen típusokat, mennyi idő alatt jutottak el javításig.
  2. Milyen szoftvereket neveznek „kritikusnak”? A „világ legkritikusabb szoftvere” jól hangzik, de a gyakorlati hatás azon múlik, hogy kernel-, felhő-, hálózati, identitáskezelési vagy épp build/CI (folyamatos integráció) láncok kerülnek-e fókuszba.
  3. Hogyan kezelik a kettős felhasználást (dual-use)? Ugyanaz a képesség, ami hibát talál, segíthet kihasználni is. A Mythos Preview visszatartása azt jelzi, hogy ezt komolyan veszik – kérdés, milyen ellenőrzésekkel és auditokkal.
  4. Milyen lesz a hozzáférés a kisebb szereplőknek? A nagyok összefogása javíthatja a közös biztonságot, de fontos kérdés, hogy a tudás, eszközök és javítások mennyire csorognak le a teljes ökoszisztémába (különösen a nyílt forráskódú projektekhez és a beszállítói lánc alsóbb szintjeire).