Proyek Glasswing Anthropic: Claude Mythos Preview Mendemonstrasikan Penemuan Kerentanan Berbasis AI Skala Produksi

Anthropic menerbitkan pembaruan pertama dari Project Glasswing pada 22 Mei 2026, mengungkapkan bahwa model Claude Mythos Preview terlarangnya — digunakan bersama sekitar 50 mitra termasuk Microsoft, Apple, Google, dan Cloudflare — menemukan lebih dari 10.000 kerentanan tingkat tinggi dan kritis di seluruh perangkat lunak kritis dalam bulan pertama operasinya. Mitra melaporkan tingkat penemuan bug meningkat lebih dari 10× dibandingkan metode sebelumnya; Cloudflare saja menemukan 2.000 bug (400 tinggi/kritis) dengan tingkat positif palsu lebih baik dari penguji manusia. Mythos Preview dapat membangun rantai eksploitasi multi-tahap secara otomatis — menghubungkan primitif tingkat rendah menjadi serangan tingkat tinggi — dan menghasilkan bukti konsep yang berfungsi dalam loop yang dapat memperbaiki diri sendiri. UK AI Security Institute mengkonfirmasi bahwa Mythos Preview adalah model pertama yang sepenuhnya menyelesaikan kedua rangkaian simulasi serangan siber multi-langkah miliknya dari awal hingga akhir. Anthropic meluncurkan Claude Security (Opus 4.7) dalam beta publik untuk perusahaan yang tidak termasuk dalam konsortium Glasswing terbatas, yang telah membantu menambal 2.100 kerentanan korporat.

Ini adalah bukti empiris terbersih sejauh ini bahwa penemuan kerentanan berbantu AI telah melampaui ambang batas kualitatif: bottleneck bukan lagi menemukan bug tetapi memverifikasi, mengoordinasikan, dan menambalnya lebih cepat daripada penyerang dapat menggunakan kemampuan yang sama. Organisasi yang beroperasi di bawah rezim pemindaian triwulanan atau jendela pemeliharaan bulanan tidak siap secara struktural; data M-Trends 2026 Mandiant yang dikutip dalam pengungkapan menunjukkan penyerang sekarang mengeksploitasi kerentanan rata-rata 7 hari *sebelum* patch dirilis. Karena Mythos tidak tersedia untuk publik umum, pembela yang beroperasi dalam konsortium Glasswing memiliki keuntungan asimetris yang tidak akan bertahan selamanya seiring penyerang mendapatkan akses ke model pasar terbuka atau Tiongkok yang sebanding.

Semua perusahaan harus segera meninjau SLA manajemen patch terhadap dasar eksploitasi 7-hari-sebelum-patch, memprioritaskan pengungkapan CVE Glasswing (dilacak melalui NVD) saat dibuat publik selama jendela pengungkapan terkoordinasi 90 hari mendatang, dan mengevaluasi beta publik Claude Security Anthropic untuk remediasi berbantu. Perusahaan layanan keuangan, kesehatan, dan infrastruktur kritis harus menginformasikan dewan bahwa tingkat pengungkapan kerentanan tingkat tinggi akan terus meningkat secara material untuk sisa tahun 2026.