Anthropic’s Project Glasswing heeft zijn eerste belangrijke resultaten opgeleverd. In slechts één maand tijd hebben Claude Mythos Preview en ongeveer 50 partners meer dan 10.000 kwetsbaarheden met een hoge of kritieke ernst geïdentificeerd in ’s werelds meest kritieke software. ” De bottleneck bij het verhelpen van dit soort bugs is het menselijk vermogen om ze te triageren, te rapporteren en patches ervoor te ontwerpen en te implementeren.”
Een maand na de start van Project Glasswing zijn de cijfers al opvallend. Anthropic en zijn ongeveer 50 partners, waaronder Cloudflare, Palo Alto Networks en grote financiële instellingen, hebben Claude Mythos Preview gebruikt om meer dan 10.000 kwetsbaarheden met een hoge of kritieke ernst aan het licht te brengen in systeemkritische software. Cloudflare alleen al vond 2.000 bugs, waarvan er 400 als ernstig of kritiek werden beoordeeld, met een percentage valse positieven dat volgens het team van Cloudflare beter is dan dat van menselijke testers.
Het Britse AI Security Institute meldt dat Mythos Preview het eerste model is dat beide cyberrange-simulaties van begin tot eind heeft voltooid. Mozilla vond en repareerde tijdens het testen 271 kwetsbaarheden in Firefox 150, meer dan tien keer het aantal dat in Firefox 148 werd gevonden met behulp van Claude Opus 4.6. Microsoft, dat Mythos ook gebruikt om op kwetsbaarheden te scannen, verklaarde dat zijn nieuwe patches “voorlopig nog steeds groter zullen worden”.
Open source onder de loep
Parallel aan zijn partnerprogramma heeft Anthropic enkele maanden besteed aan het scannen van meer dan 1.000 open-sourceprojecten met Mythos Preview. Van de in totaal 23.019 bevindingen schat het model er 6.202 in als ernstig of kritiek. Onafhankelijke beveiligingsbedrijven hebben 1.752 daarvan geverifieerd, waarmee 90,6 procent van de gemelde kwetsbaarheden als geldige true positives werd bevestigd. Een opvallend voorbeeld is een kwetsbaarheid voor certificaatvervalsing in wolfSSL (CVE-2026-5194), een cryptografiebibliotheek die door miljarden apparaten wordt gebruikt. Mythos construeerde een exploit waarmee een aanvaller een valse website van een bank of e-mailprovider kon hosten. Voor de eindgebruiker was dit niet te onderscheiden van de echte site.
Toch zijn tot nu toe slechts 75 van de 530 bekendgemaakte bugs met een hoge of kritieke ernst gepatcht. De bottleneck is de menselijke capaciteit om te triageren en te repareren. Sommige open-sourcebeheerders hebben Anthropic zelfs gevraagd om het tempo van de bekendmakingen te vertragen, aangezien het gemiddeld twee weken duurt om een bug met een hoge of kritieke ernst te verhelpen. Anthropic heeft onlangs Glasswing-partners toestemming gegeven om hun bevindingen op grotere schaal te delen, onder meer met toezichthouders en open-sourcebeheerders, om dat proces te helpen versnellen.
Nieuwe tools, gecontroleerde toegang
Anthropic wacht niet tot de achterstand is weggewerkt om krachtigere producten op de markt te brengen, hoewel Mythos-niveau-mogelijkheden voorlopig nog niet beschikbaar zullen zijn. Claude Security, dat nu in openbare bèta is voor Enterprise-klanten en is gebouwd op Claude Opus 4.7, is al gebruikt om in drie weken tijd meer dan 2.100 kwetsbaarheden te verhelpen. Het bedrijf heeft ook de agentische tooling vrijgegeven die intern door Glasswing-partners wordt gebruikt. Deze bestaat uit een codebase-harnas, scannende subagenten en een threat model builder voor gekwalificeerde beveiligingsteams op verzoek. Een Cyber Verification Program stelt nu gescreende beveiligingsprofessionals in staat om toegang te krijgen tot modellen zonder bepaalde cyberbeveiligingswaarborgen.
Mythos Preview zelf blijft niet beschikbaar voor het publiek. Toen Anthropic in april de Mythos-tests lanceerde, verklaarde het dat nog geen enkel bedrijf voldoende beveiligingsmaatregelen had ontwikkeld voor een brede release van modellen van de Mythos-klasse. De Nederlandse overheid uitte eerder deze maand haar bezorgdheid over die risico’s, daarbij verwijzend naar het vermogen van het model om autonoom complete aanvalsketens op te bouwen. De volgende stap van Anthropic is het uitbreiden van Glasswing naar extra partners, waaronder de Amerikaanse en geallieerde regeringen, waarbij een algemene release van Mythos pas gepland staat zodra er sterkere beveiligingsmaatregelen zijn getroffen.