Neste
Skribent
tagger
Del artikkel
The post has been shared by 0 people.
Facebook 0
X (Twitter) 0
Pinterest 0
Mail 0
Innhold Vis
  1. Hva er Project Glasswing?
  2. Hva fant de – og er tallene ekte?
  3. Hvilken programvare ble rammet?
  4. Hvordan klarer AI å finne feil som folk har gått glipp av i 27 år?
  5. Hva skjer med sårbarhetene som ikke er patchet ennå?
  6. Betyr dette at AI tar over for menneskelige sikkerhetsforskere?

Programvaren du bruker til daglig har sannsynligvis hull i seg som har vært der i over ti år – og ingen hadde funnet dem. Det er ikke spekulasjon, det er resultatet av Project Glasswing, Anthropics sikkerhetssatsing der AI-modellen Claude Mythos gikk gjennom kildekoden til over tusen populære open source-prosjekter. Konklusjonen: 10.000 alvorlige eller kritiske sårbarheter – og en 16 år gammel feil i FFmpeg som hadde blitt trigget fem millioner ganger av testverktøy uten at noen oppdaget den.

Det er et av de mest konkrete eksemplene så langt på hva AI faktisk kan bidra med innen sikkerhet – ikke som fremtidig potensial, men som dokumenterte funn fra noe som allerede er gjort. Og det er både imponerende og litt ubehagelig å tenke på.

La meg gå gjennom hva som faktisk ble funnet, hvordan det fungerte, og hva det betyr for deg som bruker programvaren det gjelder.

Hva er Project Glasswing?

Project Glasswing er et initiativ Anthropic lanserte i mai 2026 der de samlet rundt 50 partnere – blant dem Amazon, Apple, Cisco, Google, Microsoft og Nvidia – og ga dem eksklusiv tilgang til Claude Mythos Preview for å lete etter sikkerhetshull i kritisk programvare. Selve modellen er ikke tilgjengelig for allmennheten. Newton Cheng fra Anthropic har vært tydelig på det: «Vi har ingen planer om å gjøre Claude Mythos Preview generelt tilgjengelig på grunn av dens cybersikkerhetsmuligheter.»

Det er et uvanlig grep. De aller fleste AI-selskaper snakker om åpenhet og tilgjengelighet. Her sier Anthropic eksplisitt: denne modellen er for god til å slippes løs. Og tallene gir dem litt rett i den vurderingen.

Finansieringen er også verdt å nevne: 100 millioner dollar i brukskreditter til partnerne, pluss 4 millioner dollar i direkte donasjon til sikkerhetsorganisasjoner som Linux Foundation og Apache Software Foundation. Det er ikke småpenger, og det signaliserer at dette ikke er et PR-stunt.

Hva fant de – og er tallene ekte?

Den samlede rapporten fra Project Glasswings første oppdatering er ganske konkret. Over 10.000 høy- eller kritisk-alvorlige sårbarheter ble identifisert på tvers av alle partnerne. Av de 1.752 sårbarhetene som ble manuelt validert, ble 90,6 prosent bekreftet som reelle – og 62,4 prosent av dem ble klassifisert som høy- eller kritisk-alvorlige.

Det er en høy treffsikkerhet for et automatisert verktøy. For å sette det i perspektiv: Mozilla rapporterte 271 sårbarheter i Firefox 150, noe som er ti ganger mer enn hva tidligere testing hadde klart å finne. Cloudflare fant 2.000 feil totalt, hvorav 400 var alvorlige.

Så er tallene ekte? Ja, på den måten at de er verifiserte av uavhengige sikkerhetsteam hos partnerne. Det er ikke Anthropic som teller alene – det er Google, Apple og Microsoft som bekrefter funnene sine.

Visuell fremstilling av AI-skanning av åpen kildekode-nettverk med oppdagede sårbarheter
Project Glasswing analyserte over 1.000 open source-prosjekter og fant kritiske feil

Hvilken programvare ble rammet?

Mer enn tusen open source-prosjekter ble analysert. Det betyr programvare som brukes av milliarder av mennesker: operativsystemer, nettlesere, kryptobiblioteker og serverinfrastruktur. To eksempler skiller seg ut:

En 27 år gammel sårbarhet i OpenBSD – et operativsystem kjent for å prioritere sikkerhet – som lot en angriper krasje systemet bare ved å koble til det. Den hadde ligget der siden 1999 uten å bli oppdaget. Og en 16 år gammel feil i FFmpeg, det mest brukte biblioteket for video- og lydprosessering, som ifølge rapporten hadde blitt trigget av testverktøy fem millioner ganger uten at noen hadde forstått hva som skjedde.

Et tredje eksempel er kanskje det mest alarmerende: en sårbarhet i WolfSSL (CVE-2026-5194) som åpner for sertifikatforfalskninger og potensielt rammer milliarder av enheter globalt. WolfSSL brukes i alt fra IoT-enheter til industriell infrastruktur.

Hvordan klarer AI å finne feil som folk har gått glipp av i 27 år?

Det er det egentlig interessante spørsmålet. Menneskelige sikkerhetsforskere er gode, men de er begrenset av tid, oppmerksomhet og det faktum at kodegjennomgang er kjedelig arbeid. En AI-modell med tilstrekkelig kontekstvindu og dype trening på kode kan analysere store kodebaser systematisk uten å bli lei.

Claude Mythos Preview har demonstrert at den kan skrive komplekse nettleser-exploits, knytte sammen fire separate sårbarheter, utføre avansert minnemanipulasjon og omgå sandkassebaserte sikkerhetstiltak. UK AI Security Institute bekreftet at Mythos var den første modellen som klarte å løse deres cyber range-simuleringer fra start til slutt uten hjelp.

Metodikken i Project Glasswing er strukturert: sårbarhetene verifiseres, alvorlighetsgraden vurderes på nytt, fikser sjekkes, og vedlikeholderne av programvaren får 90 dager på seg til å rette opp – en standard tilnærming innen ansvarlig sikkerhetsforskning. Den største utfordringen har vist seg å være at mange open source-vedlikeholdere ikke har kapasitet til å behandle rapporten raskt nok. Gjennomsnittlig patche-tid for alvorlige feil er to uker, men av 530 rapporterte alvorlige bugs er foreløpig bare 75 patchet.

Terminal med kode og varsler om kritiske sårbarheter funnet av AI-analyse
90-dagers ansvarlig varslingsprosedyre gir vedlikeholdere tid til å patche kritiske feil

Hva skjer med sårbarhetene som ikke er patchet ennå?

Dette er den delen av historien som er verdt å tenke over. Av 530 rapporterte alvorlige feil er altså 455 fortsatt ikke patchet. Det er Anthropic og partnerne som vet om disse feilene – og forhåpentligvis ikke noen andre. Men 90-dagersvinduet for offentliggjøring betyr at en del av dem snart vil bli kjent for alle, enten de er patchet eller ikke.

Det er standardpraksis i sikkerhetsforskning. Grunnen er at uten en deadline vil leverandører utsette fiksene i det uendelige. Men det betyr at de kommende månedene vil bringe en del CVE-er med høy alvorlighetsgrad for programvare mange bruker.

For deg som bruker er rådet enkelt: hold programvaren oppdatert. Det er kjedelig og åpenbart, men akkurat i denne perioden er det mer relevant enn normalt. Når Project Glasswing-patches ruller ut, vil det være verdt å sjekke at systemer og avhengigheter er oppdatert.

Betyr dette at AI tar over for menneskelige sikkerhetsforskere?

Nei – men det endrer hva de bruker tiden på. De 10.000 funnene ble ikke validert av AI alene. Hvert funn gikk gjennom menneskelig verifisering hos partnerorganisasjonene. Det AI gjør er å redusere den kjedelige delen av jobben: å gå gjennom tusenvis av kodelinjer på jakt etter mønstre som kan utnyttes.

Anthropic har også lansert Claude Security som et enterprise-verktøy for kodebase-scanning. I løpet av tre uker skal det ha bidratt til å patche 2.100 sårbarheter. Det er ikke en erstatning for sikkerhetsteamet ditt – det er et verktøy som lar sikkerhetsteamet finne mer på kortere tid.

Jeg har skrevet mer om den bredere AI-sikkerhetslandskapet i 2026 og om hva Project Glasswing er og hvordan modellen fungerer. Det er bakgrunnen for det vi ser nå. I tillegg er det interessant å sammenligne med de første 500+ zero-day-funnene fra Claude Mythos – de 10.000 er neste kapittel i den historien.

Det som er verdt å merke seg er også at dette ikke er unikt for Anthropic over tid. Glasswing-rapporten sier eksplisitt at lignende kapabiliteter forventes fra flere AI-selskaper snart. Vi er sannsynligvis i starten av en periode der AI-assistert sikkerhetsanalyse blir standard, ikke et eksperiment. Og da er spørsmålet ikke om AI skal brukes til dette – men hvem som bruker det.

For deg som driver med utvikling eller IT: det kan være verdt å se på hvordan AI-agenter selv kan bli angrepsvektorer – for sikkerhetslandskapet går begge veier.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Meld deg på nyhetsbrevet

Få oppdateringer om AI nyhetene rett i inboxen!

Du liker kanskje denne også
Jan Sverre arbeider med Suno AI musikk-generering på datamaskinen, kreativt workspace med hodetelefoner

Suno AI – 150 Låter Testet: Hva Funker og Hva Er Bortkastet Tid

Jeg testet 150 Suno-låter og fant tydelige mønstre. Her er hva som faktisk gir kvalitet, og hva som bare kaster bort tid.
  • 3. desember 2025
  • 952 visninger
  • 7 minutter lesetid
Jan Sverre med headphones og lydmikser i boardroom-møte med forvirrede executives

Suno AI Copyright 2026 – Opphavsrett og Rettigheter for AI-Musikk

Kan du tjene penger på Suno-musikk? Her er en praktisk gjennomgang av rettigheter, risiko og hva du bør avklare før publisering.
  • 18. desember 2025
  • 789 visninger
  • 5 minutter lesetid
Jan Sverre styrer et digitalt kontrollpanel omgitt av Claude AI-symboler og glødende lysstriper i et mørkt rom

Claude AI – pris, funksjoner og norsk guide (2026)

Alt om Claude AI i 2026 – priser i norske kroner, Claude Pro vs Max, Claude Code, og ærlig sammenligning med ChatGPT. Komplett norsk guide fra en som bruker Claude daglig.
  • 20. mars 2026
  • 669 visninger
  • 8 minutter lesetid
Jan Sverre riding a dinosaur in safari outfit, photorealistic AI-generated image demonstrating Nano Banana Pro capabilities

Jeg testet Nano Banana Pro: AI som faktisk skriver norsk i bilder

Endelig! En AI som kan generere norsk tekst i bilder med 94% nøyaktighet. Jeg testet Nano Banana Pro grundig – her er resultatene.
  • 28. november 2025
  • 589 visninger
  • 7 minutter lesetid