Dasbor CVD Proyek Glasswing Anthropic: Claude Mythos Preview Mengungkapkan 1.596 Kerentanan di Seluruh 281 Proyek Sumber Terbuka

Pada 22 Mei 2026, Anthropic menerbitkan pembaruan awal untuk Proyek Glasswing dan meluncurkan dasbor Coordinated Vulnerability Disclosure (CVD) publik yang menunjukkan bahwa Claude Mythos Preview telah secara otonom menemukan lebih dari 10.000 kerentanan dengan tingkat keparahan tinggi atau kritis di seluruh perangkat lunak yang banyak digunakan, dengan 1.596 diungkapkan kepada pengelola di seluruh 281 proyek sumber terbuka dengan tingkat positif-benar 90,8% yang dikonfirmasi oleh firma penelitian keamanan eksternal termasuk Trail of Bits, ADA Logics, dan Calif.io. Dari temuan yang diungkapkan, 97 telah diperbaiki dan 88 telah diberikan identifikasi CVE atau GHSA; CVE yang patut diperhatikan termasuk RCE FreeBSD berusia 17 tahun (CVE-2026-4747) dan kerentanan Firefox yang ditemukan dalam kolaborasi dengan Mozilla. Model tetap terbatas pada ~50 organisasi mitra (AWS, Apple, Google, Microsoft, Cisco, NVIDIA, CrowdStrike, JPMorgan Chase) di bawah akses terkontrol, karena Anthropic telah secara permanen menahan rilis publik dengan alasan risiko pelucutan senjata yang bencana.

Ini adalah publikasi vendor pertama yang mendokumentasikan penemuan kerentanan otonom bertenaga AI berskala besar dengan tingkat positif-benar yang divalidasi oleh firma eksternal; ini secara fundamental mengubah ekonomi penelitian kerentanan ofensif dan defensif. Hambatan telah bergeser dari menemukan kerentanan ke triage dan koordinasi dengan kecepatan manusia — analisis Cloudflare terhadap Mythos mencatat bahwa ia membangun rantai eksploit multi-bug secara otonom, dan pengelola telah meminta Anthropic untuk memperlambat pengungkapan karena kapasitas penambal adalah kendala baru. Tim keamanan harus sekarang merencanakan drop patch dengan kecepatan burst dari OSS fondasi (browser, perpustakaan TLS, kernel) ketika jendela pengungkapan 90 hari mulai ditutup.

Semua organisasi yang bergantung pada perangkat lunak sumber terbuka untuk infrastruktur AI atau penggunaan umum harus meningkatkan pemantauan kecepatan patch untuk Firefox, wolfSSL, nginx, FreeBSD, libyang, mastodon, dan freerdp. Tim keamanan yang mengevaluasi AI frontier untuk penemuan kerentanan harus memperlakukan TPR 90,8% Glasswing sebagai tolok ukur referensi untuk program in-house yang serupa. CISO harus memberikan pengarahan kepada dewan mereka bahwa kompresi jendela patch — dari pengungkapan CVE hingga eksploit yang berfungsi — sekarang diukur dalam jam, bukan minggu.