Claude Mythos Preview nije samo još jedan napredni AI model za programiranje. Anthropic ga predstavlja kao model posebno snažan u agentskim i kibernetičkim zadacima, odnosno u poslovima u kojima treba razumjeti složen softver, pronaći slabosti, provjeriti njihov stvarni sigurnosni učinak i pomoći u izradi popravaka. Upravo zato Mythos otvara jedno od najvažnijih pitanja nove faze umjetne inteligencije u sigurnosti: tko nadzire modele koji mogu pronaći ranjivost, objasniti njezin učinak i povezati je s drugim slabostima u funkcionalan napadni lanac.
Anthropic je Mythos uveo kroz Project Glasswing, kontrolirani program u kojem odabrani partneri dobivaju pristup modelu radi zaštite kritičnog softvera i važnih digitalnih sustava. Ideja projekta nije javno puštanje modela širokom tržištu, nego ograničena suradnja s velikim tehnološkim tvrtkama, sigurnosnim organizacijama i institucijama koje mogu pomoći u pronalaženju i saniranju ranjivosti prije nego što ih iskoriste napadači. Prema dostupnim podacima, Anthropic je Mythos koristio za skeniranje više od tisuću open-source projekata, pri čemu je sustav označio tisuće potencijalnih ranjivosti različite ozbiljnosti. Dio tih nalaza prolazi vanjsku provjeru, trijažu i koordinirano otkrivanje prema održavateljima softvera.
Upravo ta procedura pokazuje koliko je tema osjetljiva. Broj nalaza sam po sebi nije dovoljan za zaključak da je svaka prijavljena slabost stvarna, kritična i odmah iskoristiva. U sigurnosti je razlika između kandidata za ranjivost, potvrđene ranjivosti, dokazivog exploita, javne objave i dostupne zakrpe iznimno važna. Zato su ljudska provjera, koordinirano otkrivanje i odgovorno izvještavanje ključni dio cijelog procesa. AI može ubrzati pronalaženje problema, ali ne smije zaobići sigurnosne i institucionalne mehanizme koji postoje upravo zato da se izbjegne nenamjerno pomaganje napadačima.
Spor oko Mythosa ne proizlazi samo iz činjenice da model može pronaći ranjivosti. Sigurnosni alati to rade desetljećima, od statičke analize koda do fuzzinga, penetracijskog testiranja i sustava za detekciju anomalija. Novo je to što napredni modeli mogu razumjeti širi kontekst koda, raditi preko više datoteka, predlagati uzrok problema, povezivati više slabosti i pomoći u izradi popravka. U najosjetljivijim scenarijima takav model ne ostaje samo na razini upozorenja, nego može pokazati kako se ranjivost praktično iskorištava. Tu počinje prostor dvojne uporabe.
Za obranu je takva sposobnost iznimno vrijedna. Velike organizacije imaju goleme količine naslijeđenog koda, složene ovisnosti, otvorene biblioteke, interne servise i softver koji je nastajao godinama. Sigurnosni timovi često ne stižu provjeriti sve komponente, a održavatelji open-source projekata nerijetko nemaju dovoljno ljudi ni novca za brzu obradu svih prijava. Ako model može skratiti vrijeme pronalaska problema, pomoći u prioritetizaciji i predložiti kvalitetnu zakrpu, to može bitno povećati obrambenu sposobnost.
No ista tehnologija u pogrešnim rukama može ubrzati napade. Napadačima ne treba savršeni alat; dovoljno im je da brže pronađu slabu točku, bolje razumiju konfiguraciju sustava, automatiziraju testiranje poznatih ranjivosti ili povežu više manjih propusta u ozbiljniji napad. Zato rasprava o Mythosu ne može biti pojednostavljena na pitanje treba li takve modele dopustiti ili zabraniti. Realno pitanje glasi kako ograničiti pristup, kako nadzirati uporabu, koje funkcije treba onemogućiti ili dodatno kontrolirati i tko ima pravo koristiti takav alat u produkcijskim sigurnosnim okruženjima.
U tom kontekstu važno je i otvaranje europske dimenzije. Prema dostupnim izvještajima, Anthropic i europske institucije razgovaraju o pristupu ENISA-e, europske agencije za kibernetičku sigurnost, Project Glasswingu. To nije samo tehničko pitanje, nego i politički signal. Europa ne želi ostati izvan najnaprednijih sigurnosnih AI alata u trenutku kada uvodi stroži regulatorni okvir za kibernetičku otpornost, kritičnu infrastrukturu i sigurnost digitalnih proizvoda. Ako američke tehnološke tvrtke razvijaju modele koji mogu otkrivati ranjivosti u široko korištenom softveru, europski regulatori i sigurnosne agencije žele barem razumjeti kako ti sustavi rade, tko im pristupa i kakve zaštitne mjere postoje.
NIS2, DORA, Cyber Resilience Act i AI Act čine regulatorni kontekst u kojem će se ovakvi alati sve češće promatrati. NIS2 podiže zahtjeve za kibernetičku otpornost u kritičnim i važnim sektorima, DORA posebno pritišće financijski sektor, Cyber Resilience Act uvodi sigurnosne obveze za proizvode s digitalnim elementima, a AI Act otvara pitanja nadzora i odgovornosti za napredne AI sustave. Mythos se nalazi upravo na sjecištu tih tema. On može pomoći organizacijama da brže pronađu i poprave slabosti, ali istodobno stvara potrebu za pravilima o pristupu, evidenciji, odgovornosti i ograničenju uporabe.
Za sigurnosne timove to znači ulazak u razdoblje u kojem se brzina napada i brzina obrane sve više pokušavaju izjednačiti automatizacijom. Ljudska stručnost ne nestaje, nego se premješta na višu razinu: definiranje pravila, provjeru nalaza, procjenu poslovnog rizika i odlučivanje o tome kada se automatiziranom sustavu može vjerovati. Ručno praćenje svake prijetnje više nije održiv model, ali ni slijepo oslanjanje na AI ne može biti prihvatljivo u organizacijama koje upravljaju kritičnim podacima i uslugama.
Najveći izazov bit će povjerenje u automatizirane sigurnosne odluke. Pogrešno blokiranje procesa može zaustaviti poslovanje, a propuštena prijetnja može otvoriti vrata napadaču. Zato sigurnosni AI alati moraju ostavljati kvalitetne zapise, objašnjavati nalaze i omogućiti da čovjek provjeri zašto je sustav određenu slabost označio kao kritičnu. U reguliranim sektorima to nije dodatna pogodnost, nego preduvjet za reviziju, dokazivanje usklađenosti i odgovornost nakon incidenta.
Temeljne sigurnosne kontrole zbog toga ponovno dobivaju na važnosti. Inventar sustava, pravodobno zakrpavanje, upravljanje privilegijama, segmentacija mreže, nadzor identiteta i evidencija promjena nisu atraktivne teme, ali bez njih ni najnapredniji AI sigurnosni alat nema čvrst oslonac. Mythos i slični modeli mogu ubrzati analizu, ali ne mogu sami riješiti problem organizacija koje ne znaju koje sustave imaju, tko im pristupa i koje su ovisnosti kritične za poslovanje.
Za manje organizacije najveći izazov bit će manjak stručnjaka. Upravo zato će rasti potražnja za upravljanim sigurnosnim uslugama, automatiziranim playbookovima, vanjskim SOC kapacitetima i alatima koji smanjuju potrebu za ručnim trijažiranjem svake dojave. Međutim, i tu postoji rizik. Ako se automatizacija uvede bez jasnih procedura, vlasnika procesa i revizijskog traga, organizacija može dobiti privid sigurnosti, a ne stvarnu otpornost.
Za dobavljače sigurnosnih rješenja Mythos označava početak nove utrke. Više neće biti dovoljno tvrditi da alat koristi umjetnu inteligenciju za detekciju prijetnji. Kupci će tražiti dokaze: koliko su nalazi točni, koliko je lažno pozitivnih upozorenja, kako se model ponaša u stvarnom okruženju, može li se ograničiti na obrambene zadatke, kako se sprječava curenje osjetljivih podataka i tko odgovara ako automatizirani sustav predloži pogrešan korak. Sigurnost umjetne inteligencije tako postaje i sigurnost procesa u kojem se ta umjetna inteligencija koristi.
Mythos je zato važan jer pokazuje da se kibernetička sigurnost približava novoj granici. Obrana i napad sve će češće koristiti slične tehnologije, a razliku će činiti kontrola pristupa, kvaliteta podataka, brzina reakcije i sposobnost organizacije da nalaze pretvori u stvarne zakrpe. Model koji može pronaći ranjivost nije dovoljan ako tvrtka nema proces za njezino popravljanje. Isto tako, ograničen pristup modelu nije dovoljan ako nema nadzora nad time kako se koristi.
Najvažnije pitanje zato nije samo koliko je Claude Mythos sposoban, nego kakav će institucionalni okvir nastati oko takvih modela. Ako se koriste odgovorno, mogu pomoći u popravljanju softvera koji pokreće velik dio digitalne ekonomije. Ako se pristup proširi bez dovoljno kontrole, mogu ubrzati ciklus napada i dodatno opteretiti organizacije koje već sada teško prate tempo ranjivosti. Upravo zato Mythos nije samo tehnološka vijest, nego najava nove faze sigurnosti u kojoj će sposobnost modela morati pratiti jednako snažan sustav nadzora, odgovornosti i koordinirane obrane.
