Apa yang terjadi
Pada 8 Juni 2026, tim red Anthropic menerbitkan 'Measuring LLMs' impact on N-day exploits' di red.anthropic.com, mengevaluasi Claude Mythos Preview terhadap kerentanan yang diketahui (tetapi baru-baru ini diungkapkan) di Mozilla Firefox dan kernel Windows Microsoft. Dalam 21 bug kernel Windows, Mythos menyebabkan 'blue screen of death' dalam 18 kasus dan menghasilkan 8 exploit yang berbeda; exploit tercepat selesai dalam 31 menit, yang paling lambat memakan waktu 5,7 jam. Biaya per exploit privilege-escalation Windows: sekitar $2.000 dalam kredit API. Peneliti mengevaluasi hanya bug yang diungkapkan setelah knowledge cutoff model untuk mengisolasi uplift AI dari memorisasi.
Mengapa penting
Ini adalah studi empiris Tier-2 pertama yang mengukur keruntuhan garis waktu pengembangan exploit N-day untuk kerentanan tingkat enterprise. Sebelumnya, tim keamanan berasumsi ada waktu perumahan penyerang berminggu-minggu setelah rilis patch; data Mythos menunjukkan penyerang terampil dengan akses model canggih dapat menggunakan flaw yang diungkapkan dalam hitungan jam. Temuan ini berlaku sama untuk model open-source, yang catatan paper mencapai level kemampuan serupa. Organisasi yang siklus patching-nya berjalan mingguan atau lebih lama sekarang terbuka secara operasional sejak saat disclosure CVE publik.
Cakupan penerapan
Organisasi apa pun dengan patch-gap lebih lama dari 24–48 jam untuk CVE kritis atau tinggi harus meninjau kembali target SLA segera. Tim vulnerability management harus memprioritaskan item CISA KEV dan EPSS-scored daripada antrian berbasis usia. CISO harus memberikan briefing kepada board tentang model ancaman baru di mana 'patch window' ≠ 'safe window'.