Softverska se industrija već desetljećima trudi da njezini proizvodi budu sigurni i da hakeri ne pronalaze rupe. Uz pomoć AI-a to obećanje ima šansu da se konačno ispuni, ali avaj, ide se u krivom smjeru. Umjesto da AI isporučuje samo savršen kod, on minira cijelu industriju i pronalazi sve što je u njoj pokvareno.

Došao GPT‑5.5‑Cyber

Mythos pronalazi sigurnosne rupe u softveru toliko dobro da ga njegova vlastita tvrtka nije htjela pustiti u javnost, ne zbog regulatora ili pritiska vlade, nego zato što su sami zaključili da bi to bila loša ideja. OpenAI je 7. svibnja objavio da u ograničeni uvid pušta GPT‑5.5‑Cyber za provjerene sigurnosne timove kroz svoj “Trusted Access for Cyber” program, a model je namijenjen obrani, testiranju ranjivosti, analizi malwarea i sličnim sigurnosnim zadacima. Napomena, OpenAI je istog dana objavio i poseban model GPT-5.5 te u dokumentaciji naveo da je njegova sposobnost u području kibernetičke sigurnosti klasificirana kao visoka, ali još uvijek ispod kritične razine - što znači da je opasniji od svega što su do sada objavili, ali ne toliko opasan da bi ga zadržali samo za odabrane partnere kao što Anthropic čini s Mythosom.

Inventura štete

Mythos je u jednom evaluacijskom prolazu pronašao 271 ranjivost u Firefoxu, dok je prethodni Anthropicov najsposobniji model pronašao njih dvadesetak. Bug star 27 godina u OpenBSD-u. Rupa u FreeBSD-u čekala je 16 godina i svakome tko je pokušao, bez lozinke i bez ikakvih ovlasti, davala potpunu kontrolu nad serverom. Sandbox ranjivosti u Firefoxu, za koje Mozilla plaća i do 20.000 dolara po slučaju jer ih stručnjaci stručnjaci pronalaze tek nakon tjedana kopanja Mythos izbacuje brzinom kakvu ljudski istraživači nikad nisu vidjeli.

Statistika je zapravo poražavajuća. Firefox je samo prošli mjesec zakrpao 423 greške a 271 se pripisuje Anthropicovu modelu Claude Mythos Preview. Godinu dana ranije zakrpao ih je 31. Kao da se uspavani QA tim odjednom probudio.

Konzorcij bez Europljana

Anthropic nije pustio Mythos u javnost, nego je napravio konzorcij pod nazivom Project Glasswing: Amazon, Apple, Microsoft, Cisco, JPMorgan Chase, CrowdStrike, Nvidia, Palo Alto Networks, Linux Foundation, Broadcom, Google. Sve američke tvrtke. NSA ima pristup kroz ranije dogovore. Američki Treasury zasebno čeka na pristup. Ni jedna europska banka. Ni jedna europska vlada. Ni jedna europska agencija za cybersecurity. Ipak, Europa ne čeka u redu, ali kao i uvijek, politika je glasnija od industrije.

Španjolski ministar gospodarstva Carlos Cuerpo rekao je novinarima da blok mora odrediti kako se može "braniti" i pozvao na koordinirani odgovor u okviru AI Akta. Glasnogovornik Europske komisije Thomas Regnier potvrdio je na konferenciji za novinare da EU institucija još uvijek nema pristup Project Glasswingu, uz diplomatsku napomenu da tvrtka "postupa u dobroj vjeri." Europski zastupnici u Parlamentu napisali su pismo u kojemu traže da Europa participira u Project Glasswingu, da se ubrza primjena zero trust arhitektura i AI-pogonjenih obrambenih alata te da se reformiraju politike otkrivanja ranjivosti kako bi odgovarale "komprimiranim vremenskim okvirima koje nameće AI."

A da provjere Discord?

Sljedeća faza provedbe EU AI Akta stupa na snagu tek u kolovozu 2026. Do tada, kako analitičari primjećuju, sposobnosti modela će se opet pomaknuti. Europa regulira ono što je već prošlo. Tek je Bundesbank krajem travnja javno pozvao EU da zatraži pristup, argumentirajući da europske banke realno ne mogu testirati vlastitu infrastrukturu bez Mythosa. Možda požure politiku da umjesto pisama učine nešto konkretnije. A to je da se registriraju i koriste Discord.

Mala grupa koja je komunicirala preko privatnog Discord kanala pristupila je Claude Mythos Previewu pogađajući URL modela na isti dan kada je Anthropic objavio Project Glasswing. Najzaštićeniji AI model trenutno na planetu bio je dostupan onome tko je pogodio pravu adresu. Dok Europa čeka formalni pristup, netko s Discorda ga je imao sat vremena nakon objave. Europski ministri financija drže izvanredne sjednice o modelu kojemu nitko od njih nema pristup. To je otprilike kao raspravljati o poplavi dok ti netko drugi drži vreće s pijeskom.

Probudio se i Washington

Potpredsjednik JD Vance je početkom travnja, tjedan dana prije objave Mythosa, sazvao CEO-ve svih relevantnih AI tvrtki, Altmana, Amodeija, Muska, Pichaia, Nadellu, i upozorio ih da Mythos i slični modeli prijete malim bankama, bolnicama i vodovodnim sustavima te da lokalne vlasti jednostavno nisu opremljene za ono što dolazi. Isti JD Vance koji je u veljači 2025. u Parizu držao predavanje o opasnostima preregulacije AI-a, sada želi regulirati i to se tumači kao znak zrelosti.

Bijela kuća sad razmatra izvršnu uredbu s formalnim nadzorom najnaprednijih modela, nešto što Kevin Hassett opisuje kao FDA za AI, što je odmah izazvalo bijes dijela administracije koja ne želi nikakve regulative, a čiji glasnogovornik David Sacks smatra da je sve pretjerano: "Ljudi ovo tretiraju kao egzistencijalnu prijetnju. Ne mislim da jest."

Ostaje paradoks: isti predsjednik koji je 2025. potpisima ukinuo obvezne sigurnosne procjene AI modela sad priprema uredbu koja bi zahtijevala vladinu provjeru prije objave, a Anthropic je istovremeno na Pentagon crnoj listi kao potencijalna prijetnja nacionalnoj sigurnosti i jedina tvrtka od koje Bijela kuća traži da uspori s distribucijom jer je previše moćna da bi je pustili bez kontrole.

Histerija ili hype?

Ben Harris, izvršni direktor cybersecurity tvrtke watchTowr, opisuje razgovore s bankama, osiguravateljima i regulatorima u posljednjih nekoliko tjedana jednom riječju: histerija, dok S&P 500 indeks softverskih tvrtki pada za što je Wall Street smislio ime SaaSpocalypse. S druge strane, Gary Marcus na Substacku citira stručnjaka za kibernetičku sigurnost koji mu je napisao da cijela stvar "smrdi na hype" jer model ne možeš sam evaluirati bez vođenja promptovima, kao dijete koje tek počinje hodati. Obje strane imaju argument, ni jedna nema dokaz, jer nitko izvan Glasswing konzorcija nije vidio što Mythos zapravo radi u nekontroliranim uvjetima.