Cybersikkerhed har altid været et kapløb mellem angribere og forsvarere. Men med AI er reglerne ved at ændre sig fundamentalt - og det er ikke nødvendigvis til forsvarernes fordel.
Anthropic, virksomheden bag Claude, har netop lanceret Project Glasswing - et samarbejde med nogle af verdens største teknologivirksomheder om at bruge AI til at finde og lukke sikkerhedshuller, før de bliver udnyttet.
Hvad er Project Glasswing?
Project Glasswing er et konsortium der samler Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA og Palo Alto Networks. Formålet er enkelt: brug AI til at sikre den software som milliarder af mennesker er afhængige af hver dag.
I centrum står Claude Mythos Preview - en ny AI-model der er specialiseret i at forstå, analysere og finde fejl i kompleks software. Modellen er så kraftfuld, at Anthropic har valgt ikke at gøre den offentligt tilgængelig.
Tusindvis af ukendte sikkerhedshuller fundet
Resultaterne taler for sig selv. Mythos Preview har allerede identificeret tusindvis af såkaldte zero-day-sårbarheder - altså fejl som ingen kendte til - på tværs af alle større operativsystemer og webbrowsere.
Nogle af fundene er bemærkelsesværdige:
- En 27 år gammel fejl i OpenBSD der kunne crashe systemer udefra
- En 16 år gammel sårbarhed i FFmpeg (videoafspilningssoftware brugt overalt) som havde undgået fem millioner automatiserede tests
- Flere sammenkædede fejl i Linux-kernen der tillod en almindelig bruger at overtage fuld kontrol over maskinen
Alle fundne sårbarheder er blevet ansvarligt rapporteret og rettet.
Hvorfor er det vigtigt nu?
AI-modeller har nået et niveau hvor de kan overgå alle undtagen de mest erfarne sikkerhedseksperter, når det handler om at finde og udnytte softwarefejl. Det er en realitet som både forsvarere og angribere forholder sig til.
Forskellen er tid. Hvis forsvarerne får adgang til denne teknologi først, kan de lukke hullerne før de bliver udnyttet. Hvis angriberne kommer først, står vi over for en bølge af cyberangreb som er langt mere sofistikerede end noget vi har set før.
På CyberGym-benchmark'et - en standardtest for AI's evne til at finde sikkerhedshuller - scorer Mythos Preview 83,1% mod 66,6% for Anthropics hidtil bedste model. Det er et markant spring.
100 millioner dollar til forsvar
Anthropic investerer op til 100 millioner dollar i brugskreditter til Mythos Preview for projektets deltagere, plus 4 millioner dollar direkte til open source-sikkerhedsorganisationer.
Over 40 organisationer der bygger kritisk infrastruktur har fået adgang til modellen til defensive formål: sårbarhedsscanning, penetrationstest, endpoint-sikkerhed og black-box-analyse af binære filer.
Hvad betyder det for danske virksomheder?
Project Glasswing handler om den helt store infrastruktur - operativsystemer, browsere, netværksudstyr. Men signalet er tydeligt: AI-drevet sikkerhed er ikke længere fremtid, det er nutid.
For danske virksomheder betyder det tre ting:
- Jeres software bliver sikrere - de systemer I bruger dagligt (Linux, Windows, Chrome, netværksudstyr) bliver aktivt scannet og patchet med AI
- Angrebsfladen ændrer sig - når de store huller lukkes, vil angribere fokusere mere på branchespecifik software og custom-løsninger
- AI-sikkerhedsværktøjer bliver mainstream - inden for 1-2 år vil AI-drevet sårbarhedsscanning være standard, ikke undtagelsen
Inden for 90 dage vil Anthropic offentliggøre resultater, patchede sårbarheder og anbefalinger der kan danne grundlag for nye industristandarder.
Cybersikkerhed har altid handlet om at være et skridt foran. Med Project Glasswing får forsvarerne for første gang et værktøj der kan matche tempoet.
