Snilld

Anthropic hævder, at Mythos fandt 27 år gammel OpenBSD-fejl autonomt

Ifølge VentureBeat og Anthropic fandt Claude Mythos Preview autonomt en 27 år gammel fejl i OpenBSDs TCP-stack efter den første prompt. De centrale påstande bygger foreløbig på leverandørens egne oplysninger, men omfatter også benchmarktal, Project Glasswing og et lovet offentligt notat inden for 90 dage.

10. april 2026 Peter Munkholm

Ifølge VentureBeat fandt Claude Mythos Preview autonomt en 27 år gammel sårbarhed i OpenBSDs TCP-stack uden menneskelig guidning efter den første prompt. Fejlen skulle kunne få enhver server med den berørte stack til at crashe med to pakker. Det er en hård påstand, især fordi OpenBSD beskrives som usædvanligt gennemgået og hærdet. De centrale tekniske oplysninger stammer her fra Anthropic via VentureBeat.

OpenBSD-fejlen beskrives som noget, der overlevede mange års review og fuzzing. Samme kilde angiver, at den samlede discovery-kampagne kostede omkring 20.000 dollar, mens selve model-runnet, der fandt fejlen, kostede under 50 dollar. Det er nok tallet, mange sikkerhedsfolk vil hæfte sig ved. Ikke kun fundet, men prisen på at lede.

Benchmarktal fra Anthropic

VentureBeat gengiver flere benchmarkresultater fra Anthropic. På Firefox 147 exploit writing skulle Mythos være lykkedes 181 gange mod 2 for Claude Opus 4.6. På SWE-bench Pro angives 77,8 procent mod 53,4, og på CyberGym vulnerability reproduction 83,1 mod 66,6.

Banner

Derudover nåede Mythos ifølge artiklen 100 procent på Anthropics Cybench CTF. Det fik red teamet til at flytte evalueringen over mod virkelig zero-day-discovery. Springet ser, i hvert fald i de rapporterede tal, ikke lille ud.

Udvikler gennemgår lavniveau-systemkode i et teknisk arbejdsmiljø

Flere påstande om sårbarhedsfund

Artiklen går længere endnu. Mythos skulle have fundet tusindvis af zero-day-sårbarheder på tværs af alle store operativsystemer og browsere, og mange af dem skulle være mellem et og to årtier gamle. Samme sted citeres Anthropics red team-vurdering for, at ingeniører uden formel sikkerhedsuddannelse bad modellen finde remote code execution-sårbarheder natten over og vågnede op til et fungerende exploit.

Sikkerheds- og driftsteam planlægger respons på nye sårbarhedsfund

Den lovede offentlige rapport inden for 90 dage bliver vigtig. I materialet her hviler de mest opsigtsvækkende dele stadig på Anthropics egne oplysninger, gengivet af VentureBeat.

Project Glasswing

VentureBeat skriver, at Anthropic har samlet Project Glasswing, en defensiv koalition med 12 partnere. Blandt de nævnte er CrowdStrike, Cisco, Palo Alto Networks, Microsoft, AWS, Apple og Linux Foundation. Initiativet beskrives som bakket op af 100 millioner dollar i usage credits og 4 millioner dollar i open source-tilskud.

Banner

Mere end 40 andre organisationer, som bygger eller vedligeholder kritisk softwareinfrastruktur, skulle også have fået adgang. Partnerne havde desuden kørt Mythos mod egen infrastruktur i flere uger, da artiklen udkom. Det peger på, at Anthropic selv fremstiller skiftet som noget, der kræver hurtig defensiv afprøvning.

Tekniker arbejder foran serverracks i et datacenter under sikkerhedsgennemgang

Rapport og reaktioner

Anthropic har ifølge VentureBeat forpligtet sig til at offentliggøre en public findings report inden for 90 dage. Artiklen placerer det i begyndelsen af juli 2026. Indtil den ligger der, er historien stadig primært dokumenteret gennem leverandøren selv.

VentureBeat citerer også Ciscos Anthony Grieco, der siger, at han aldrig har været mere optimistisk om, hvad den øgede hastighed kan ændre i sikkerhedsarbejde, og at det samtidig er lidt skræmmende. Det er egentlig en meget præcis temperaturmåling. Mere fart, mere mulighed, mere uro.

Det nøgterne punkt står tilbage. Påstandene er stærke, delvist spektakulære, og endnu ikke bredt efterprøvet i det offentlige kildemateriale her. Men hvis de holder, er det ikke svært at se, hvorfor sikkerhedsteams følger historien tæt.

Kilder

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?