Efekt Mythosa. Jak jeden model AI spolaryzował świat cyberbezpieczeństwa

7 kwietnia 2026 roku Anthropic ogłosił stworzenie Claude Mythos Preview – modelu AI, który w testach Anthropic i niezależnej walidacji UK AISI wykazał zdolność do autonomicznego znajdowania i łączenia podatności bezpieczeństwa na skalę dotąd nieosiągalną. Wokół projektu bardzo szybko narosła atmosfera z jednej strony sensacji, z drugiej nieufności, wzmacniana dodatkowo przez alarmistyczne doniesienia prasy. Tym bardziej że model nie został publicznie udostępniony – pozostaje dostępny dla wąskiego kręgu partnerów, niemal wyłącznie amerykańskich. Czy rzeczywiście mamy się czego bać?

Na początku uspokajam. Nie nadeszła apokalipsa. To nie jest koniec współczesnego cyberbezpieczeństwa. Nie jest to też marketing – Mythos i inne podobnie zaawansowane modele AI, których pojawienie się jest nieuniknione, powinny zmienić nasze podejście i sposób myślenia o bezpieczeństwie systemów. Musimy zamknąć nasz dług technologiczny i organizacyjny. Potrzebujemy nowych narzędzi i sposobów działania. Kierunek zmian jest absolutnie realny i z pewnością nieodwracalny.

Co więcej, Mythos pobudził jedną z najważniejszych debat technologicznych w Europie ostatnich lat – debatę o asymetrii bezpieczeństwa oraz o cyfrowej suwerenności. I być może właśnie to jest najistotniejszy efekt sprawy Mythosa.

Czy Mythos naprawdę jest aż tak wyjątkowy?

Bruce Schneier, jeden z najbardziej szanowanych głosów światowego cyberbezpieczeństwa, w swoim eseju w The Guardian z 8 maja zauważa, że o ile model Anthropic jest naprawdę dobry w wyszukiwaniu podatności, o tyle inne powszechnie dostępne modele mają już porównywalne możliwości. Firma Aisle zdołała odtworzyć podatności znalezione przez Anthropic, używając starszych, tańszych i publicznie dostępnych modeli.

Jak pisze Schneier: Mythos to realny krok naprzód, ale inkrementalny – jeden z długiej serii inkrementalnych kroków.

Ale jest też druga strona: niezależne testy brytyjskiego AI Security Institute pokazały, że Mythos jako pierwszy model w historii zamknął pełen 32-krokowy łańcuch ataku na sieć korporacyjną.

Mythos nie jest więc przełomem w sensie technologicznym. Jest natomiast realnym dowodem na to, że wiodące modele AI osiągnęły poziom, na którym pełna autonomia cyberataku staje się faktem branżowym.

W branży od lat wiemy o istnieniu pewnych luk w systemach, pozornie niegroźnych błędów, które same w sobie nie stanowią zagrożenia. Problem pojawia się wtedy, gdy AI zaczyna analizować całe środowisko jak układ zależności i budować sekwencje ataku wykorzystujące kilka słabych punktów jednocześnie. Pozornie błahe błędy i uproszczenia w kodzie stają się groźnymi wektorami ataku.

O ile łączenie wielu podatności w łańcuch ataku nie jest unikalną cechą Mythosa, to przełomu należy szukać w jakości i skali tej zdolności. Wielostopniowe ataki AI były dokumentowane już w 2025 roku. Mythos przesuwa jednak próg jakościowy: łańcuchy są dłuższe (do czterech łączonych podatności), techniki bardziej zaawansowane, a skala produkcyjna dramatycznie wyższa.

Już dziś dostępne modele świetnie radzą sobie z analizą kodu, wyszukiwaniem podatności i wspieraniem secure codingu. Różnica polega przede wszystkim na poziomie autonomii i zdolności do budowania pełnych scenariuszy ataku.

Projekt Glasswing i początek nowej nierówności technologicznej

Model Mythos nie został udostępniony publicznie. Anthropic uruchomił projekt Glasswing – zamknięty program dostępu do tej technologii dla około 50 zaufanych organizacji. Wśród dwunastu partnerów założycielskich są największe amerykańskie firmy technologiczne (AWS, Apple, Google, Microsoft, NVIDIA), dostawcy cyberbezpieczeństwa i sieci (CrowdStrike, Palo Alto Networks, Cisco, Broadcom), Linux Foundation oraz pojedynczy reprezentant sektora finansowego (JPMorganChase). Do modelu uzyskało też dostęp około 40 organizacji z sektorów infrastruktury krytycznej.

Według argumentacji Anthropic, celem programu jest defensywne wykorzystanie modelu – umożliwienie producentom wzmocnienia bezpieczeństwa krytycznej infrastruktury i systemów, zanim podobne zdolności staną się powszechnie dostępne.

Sceptycy twierdzą, że prawdziwym powodem czasowego wstrzymania udostępnienia modelu mogą być jego wysokie wymagania infrastrukturalne i koszty eksploatacji, wychodzące poza zasoby posiadane przez Anthropic. W rzeczywistości Glasswing prawdopodobnie pełni równolegle kilka funkcji – defensywną, wizerunkową, ekonomiczną i regulacyjną – a podział wag między nimi pozostaje nieprzejrzysty.

Chociaż pełna lista organizacji biorących udział w programie nie została ujawniona, uwagę zwraca brak wśród ujawnionych partnerów założycielskich podmiotów spoza USA – z wyjątkiem brytyjskiego AI Security Institute, który uzyskał dostęp do niezależnej ewaluacji modelu poza ramami samego programu.

Europa, niedysponująca własnymi modelami AI tej klasy, została właściwie poza tym procesem. To wzmocniło bardzo istotną dyskusję o suwerenności technologicznej, która z każdym rokiem przybiera na sile. I nie chodzi wyłącznie o modele językowe. Chodzi o fundamentalne pytanie: kto będzie miał dostęp do technologii definiujących bezpieczeństwo cyfrowe następnej dekady?

To szczególnie istotne dlatego, że AI przestaje być zwykłym narzędziem produktywności. Wpływa już na bezpieczeństwo państw, systemy finansowe, energetykę, administrację i cyberobronę. W takiej sytuacji zależność od firm zza oceanu zaczyna być postrzegana podobnie jak kiedyś zależność energetyczna.

Problemem pozostaje też kwestia jurysdykcji. W Europie coraz częściej wraca argument, że nawet europejskie centra danych należące do amerykańskich firm pozostają objęte regulacjami takimi jak US Cloud Act. To dlatego UE coraz mocniej promuje idee sovereign cloud, lokalnych dostawców SaaS i europejskich technologii AI. Sprawa Mythosa tylko przyspieszyła ten proces.

Największy problem – asymetria między atakiem a obroną

Kiedy w kwietniu 2026 Anthropic prezentował Mythosa jako technologię zmieniającą reguły gry, pełne autonomiczne kampanie APT zorkiestrowane przez AI były już rzeczywistością od pół roku – wykonane przy użyciu jego własnego, publicznie dostępnego modelu.

W listopadzie 2025 Anthropic ujawnił, że chińska grupa oznaczona przez firmę jako GTG-1002 wykorzystała publicznie dostępnego Claude Code (asystenta programistycznego Anthropic, model słabszy od Mythosa), by przeprowadzić pierwszą udokumentowaną operację szpiegostwa cybernetycznego, kierowaną w 80–90% autonomicznie przez AI.

Grupa zaatakowała około 30 wysokowartościowych celów na świecie – firmy technologiczne, banki, producentów chemikaliów, agencje rządowe – i część z nich z powodzeniem spenetrowała. Claude samodzielnie mapował sieci ofiar, identyfikował podatności, generował i testował exploity, kradł poświadczenia. Wykorzystanie w tym celu modelu, pomimo wbudowanych w niego blokad, okazało się możliwe przez rozbicie globalnego celu na pozornie niewinne podzadania techniczne i przedstawieniu operatorów jako legalnych pentesterów.

Wcześniej zaawansowane cyberataki wymagały znaczących zasobów. Potrzebni byli doświadczeni specjaliści, czas, infrastruktura i pieniądze. A to oznaczało, że najbardziej skomplikowane operacje były domeną państw, dużych agencji i wyspecjalizowanych grup APT. Sztuczna inteligencja to zmienia. Jeżeli model potrafi wyszukiwać podatności, budować exploity, automatyzować rekonesans i operacyjnie koordynować atak, koszt „wejścia” dramatycznie spada.

Według danych publikowanych przez Anthropic, budowa złożonego exploitu jądra Linuxa, wymagająca poprzednio tygodni pracy seniora, nie wymaga obecnie więcej niż 24 godzin i jej koszt nie przekracza 2000 USD. To prawdziwa „demokratyzacja” cyberataku.

Jednocześnie po stronie obrony sytuacja staje się dużo trudniejsza. Atakujący potrzebuje jednej skutecznej luki i jednego niezabezpieczonego systemu. Obrońca musi zabezpieczyć wszystko. Musi reagować szybko, wdrażać poprawki, utrzymywać ciągłość działania i łatać systemy bez zatrzymywania biznesu.

Według danych Zero Day Clock i analiz Bishop Fox, średni czas od ujawnienia podatności do budowy w pełni funkcjonalnego oprogramowania umożliwiającego atak w 2018 roku wynosił około dwóch lat – obecnie czas ten nie przekracza pojedynczych godzin. Według Bishop Fox, 67% aktywnie wykorzystywanych CVE w 2026 jest weaponizowanych przed publicznym ujawnieniem lub tego samego dnia. Dla większości krytycznych podatności nie istnieje już żadne okno reaktywne – atak jest gotowy, zanim obrońca dowie się o problemie.

Tu pojawia się prawdziwa asymetria. Koszt ataku maleje szybciej niż koszt obrony.

Sektor finansowy zaczął traktować temat bardzo poważnie. Już w listopadzie 2024 Financial Stability Board zidentyfikował cyberryzyka jako jedną z czterech głównych podatności systemowych związanych z AI. Międzynarodowy Fundusz Walutowy w maju 2026 ostrzegł wprost, że ataki wspierane przez AI będą propagować się między sektorami infrastruktury krytycznej – finansami, energetyką, telekomunikacją – bo dzielą one te same fundamenty cyfrowe. Nie chodzi nawet o spektakularne łamanie zabezpieczeń. Znacznie bardziej realistyczny jest scenariusz ciągłego zwiększania presji operacyjnej na organizacje, które po prostu nie nadążają z reakcją.

Koniec mitu „bezpiecznego open source”?

Jednym z najbardziej niedocenianych aspektów sprawy Mythosa jest wpływ AI na postrzeganie open source. Przez lata branża technologiczna zakładała, że otwarty kod jest bezpieczniejszy, ponieważ może być analizowany przez społeczność. Więcej oczu miało oznaczać większą szansę wykrycia i poprawienia błędów.

Problem polega na tym, że AI analizuje kod inaczej niż człowiek. Nie męczy się, nie gubi kontekstu i potrafi przeszukiwać gigantyczne repozytoria w sposób praktycznie niemożliwy dla zespołów developerskich.

Mając pełny dostęp do kodu źródłowego, AI może dużo łatwiej analizować zależności, identyfikować subtelne błędy logiczne, budować scenariusze ataku i szukać podatności w całych łańcuchach bibliotek i frameworków. Paradoksalnie więc transparentność, która przez lata była przewagą open source, może stać się jego słabością w epoce AI.

Tę zmianę najlepiej ilustrują konkretne znaleziska Mythosa w projektach, które przez dekady analizowały setki ludzi. W OpenBSD model zidentyfikował lukę w implementacji TCP Selective Acknowledgment – błąd, który przeżył 27 lat w jednym z najbardziej audytowanych projektów open source świata. W kodeku H.264 biblioteki FFmpeg znalazł błąd umożliwiający zapis poza buforem, który przeżył 16 lat i około 5 milionów uderzeń automatycznych testów. W bibliotece wolfSSL zbudował działający exploit umożliwiający fałszowanie certyfikatów X.509 (CVE-2026-5194) – co bezpośrednio przekłada się na ataki phishingowe podszywające się pod legalne strony.

Co istotne, te możliwości nie są zarezerwowane dla Mythosa. Już w styczniu 2026 roku niezależna firma bezpieczeństwa AISLE wykryła przy użyciu publicznie dostępnych modeli AI wszystkie dwanaście podatności w nowym wydaniu OpenSSL – w tym błędy z lat dziewięćdziesiątych.

To oczywiście nie oznacza końca open source. Ale oznacza koniec bardzo wygodnego mitu, że sama otwartość kodu automatycznie gwarantuje bezpieczeństwo. W erze AI przewagę zaczną mieć organizacje zdolne do ciągłej, automatycznej analizy bezpieczeństwa – również przy użyciu AI.

Przyszłością bezpieczeństwa open source nie jest zamykanie kodu. Przyszłością jest wyposażenie tych, którzy go utrzymują, w te same narzędzia, których używa atakujący – i w zasoby pozwalające z nich rzeczywiście korzystać. Otwartość kodu to wartość, której branża nie powinna oddawać. To, co naprawdę trzeba zmienić, to model finansowania i organizacji obrony. Anthropic w ramach Project Glasswing przekazał już cztery miliony dolarów bezpośrednio fundacjom utrzymującym kluczowe projekty open source – Linux Foundation (Alpha-Omega i OpenSSF) oraz Apache Software Foundation.

Mythos to nie wyjątek. To zapowiedź standardu

Co istotne – i często pomijane w komentarzach – Mythos nie jest modelem wyspecjalizowanym w cyber. Anthropic opisuje go jako model ogólnego przeznaczenia, którego ofensywne zdolności pojawiły się jako efekt uboczny ogólnej poprawy zdolności rozumowania i programowania.

To rozróżnienie ma kluczowe konsekwencje: jeśli cyberzdolności są pochodną właściwością odpowiednio zaawansowanego modelu ogólnego, to każdy konkurencyjny pionierski model – Claude, GPT, Gemini i ich następcy – automatycznie odziedziczy podobne właściwości po przekroczeniu pewnego progu – przy czym stanie się to w czasie raczej miesięcy niż lat.

Strategia obrony oparta na „odcięciu się od AI wyspecjalizowanej w cyber” jest skazana na porażkę – nie jest to osobna kategoria modeli, którą można po prostu wyłączyć z obiegu.

Przeciwnie, modele podobnej klasy wkrótce całkiem świadomie i celowo wpuścimy do swojej infrastruktury, aby skorzystać z ich możliwości w codziennych zadaniach. Wykorzystamy je do tworzenia własnych agentów, analizujących nasze dane i podejmujących na ich podstawie konkretne działania.

To z kolei rodzi kolejne zagrożenia. Tak potężne modele, posiadające dostęp do infrastruktury przedsiębiorstw, o ile nie będą właściwie kontrolowane, mogą same stać się celem ataku i zostać zmanipulowane przez cyberprzestępców. Dysponując ponadto umiejętnościami obchodzenia zabezpieczeń, mogą spowodować katastrofalne straty. Od użycia AI w codziennej pracy nie uciekniemy. Na szczęście istnieją już skuteczne technologie, pozwalające ograniczyć związane z tym ryzyka.

Bezpieczeństwo w erze AI. Co firmy mogą zrobić już teraz

Mam pełną świadomość tego, że po przeczytaniu rewelacji o możliwościach AI i modelu Mythos w organizacjach mogą pojawić się wątpliwości, czy ich systemy są gotowe na starcie z taką technologią. Choć AI może wspierać i atakujących, i atakowanych, wydaje się, że grupa tych pierwszych jest w stanie znacznie szybciej osiągnąć „korzyści” z wprowadzania nowych modeli AI. Obawy może też budzić samo wykorzystanie agentów AI w przedsiębiorstwach i związane z tym ryzyka.

To wszystko nie oznacza, że nie mamy się jak bronić.

W Integrity Partners podkreślamy, że szczególnego znaczenia nabiera dziś konieczność skracania czasu reakcji na podatności, automatyzacji bezpieczeństwa i ograniczania powierzchni ataku. Coraz większe znaczenie mają platformy SOAR (automatyzujące reakcje na incydenty) oraz systemy AI-driven SOC. Równie ważny staje się AI governance – i to zarówno w kontekście zagrożeń zewnętrznych, jak i własnych agentów AI działających w organizacjach.

Ten kierunek staje się też coraz bardziej obligatoryjny regulacyjnie. Sektor finansowy w Unii Europejskiej od stycznia 2025 podlega rozporządzeniu DORA (Digital Operational Resilience Act), wymuszającemu stałe testy odporności cyfrowej – w tym Threat-Led Penetration Testing odzwierciedlający najnowsze techniki ataków, również te wspierane przez AI. Od sierpnia 2026 w pełni obowiązują kluczowe przepisy EU AI Act, dotyczące m.in. modeli ogólnego przeznaczenia o ryzyku systemowym, co bezpośrednio przekłada się na odpowiedzialność zarządów za właściwe zarządzanie ryzykiem AI w organizacji.

Firmy muszą nauczyć się zarządzać zjawiskiem shadow AI, czyli niekontrolowanego wykorzystywania modeli przez pracowników. To szczególnie istotne dlatego, że agenci AI coraz bardziej przypominają cyfrowych pracowników: zbierają dane, podejmują decyzje i wykonują działania w systemach. Ich tożsamości powinny więc być chronione co najmniej tak samo jak tożsamości ludzi.

Rynek odpowiedział na tę potrzebę nowymi kategoriami produktowymi. NHI governance (Non-Human Identity governance) to wyspecjalizowane narzędzia rozszerzające tradycyjny IAM o agentów AI, konta usługowe i tożsamości maszynowe – produkty klasy SailPoint Agentic Fabric. W praktyce oznacza to objęcie agentów AI tym samym reżimem co tożsamości ludzkie: discovery, ownership, least privilege, just-in-time access i pełne audytowanie – z dodatkową warstwą monitorowania behawioralnego dostosowaną do tempa pracy maszynowej.

Co ważne, organizacje mogą już dziś wykorzystywać AI do obrony – do code review, secure development, analizy logów, threat modelingu i wykrywania błędów logicznych, które tradycyjne systemy bezpieczeństwa często ignorują. Warto rozważyć wprowadzenie takich technologii w firmach, by podnieść skuteczność swojej cyberobrony.

Bo największa zmiana już się wydarzyła. AI przestaje być dodatkiem do cyberbezpieczeństwa. Zaczyna być jego integralną częścią. I to po obu stronach konfliktu.

Jan Macherzyński, Chief Innovation Officer & Principal IGA Architect, Integrity Partners