Pratinjau Claude Mythos: AI yang Belum Dirilis dari Anthropic Membobol Bug Linux dan OpenBSD yang Tidak Disadari Manusia Selama Puluhan Tahun

Pratinjau Claude Mythos milik Anthropic yang belum dirilis telah secara otonom mengidentifikasi ribuan kerentanan zero-day berkeparahan tinggi di setiap sistem operasi dan peramban web utama, mendorong perusahaan meluncurkan Project Glasswing, sebuah koalisi keamanan siber defensif yang didukung hingga $100 million dalam kredit penggunaan AI.

Poin-Poin Utama:

• Pratinjau Claude Mythos milik Anthropic meraih skor 83,1% di Cybergym, menemukan ribuan zero-day di setiap OS dan peramban utama.
• Project Glasswing diluncurkan pada 7 April 2026, dengan 11 mitra pendiri dan hingga $100 million dalam kredit penggunaan Mythos untuk para pembela.
• Sebuah celah OpenBSD berusia 27 tahun dan bug FFmpeg berusia 16 tahun bertahan dari jutaan pengujian otomatis hingga Mythos menemukannya dalam hitungan jam.

AI Claude Mythos Mendapat Skor 83% di Cybergym dan Menemukan Kelemahan Kritis di Setiap Peramban dan OS Utama

Model tersebut, yang dideskripsikan Anthropic sebagai peningkatan kapabilitas single-model terbesar dalam sejarah AI frontier, menyelesaikan pelatihannya dan diumumkan secara publik pada 7 April 2026, setelah rincian internal muncul pada akhir Maret melalui sistem manajemen konten yang salah konfigurasi yang mengekspos kira-kira 3.000 berkas internal.

Anthropic tidak merilis Claude Mythos Preview untuk publik atau melalui API umumnya. Perusahaan membatasi akses ke sekelompok mitra yang telah divetting setelah model tersebut menunjukkan bahwa ia dapat menemukan dan mengeksploitasi celah perangkat lunak yang belum diketahui sebelumnya pada kecepatan dan skala yang melampaui baik para ahli manusia maupun sistem AI sebelumnya.

Pada tolok ukur keamanan siber, kesenjangan antara Mythos dan Claude Opus 4.6 sulit diabaikan. Mythos meraih 83,1% di Cybergym dibanding 66,6% untuk Opus 4.6, dan 93,9% dibanding 80,8% pada SWE-bench Verified. Pada SWE-bench Pro, ia mencetak 77,8% berbanding 53,4% — selisih 24 poin. Ia mencapai 56,8% pada Humanity’s Last Exam tanpa alat, dibanding 40,0% untuk pendahulunya.

Model ini tidak perlu pelatihan khusus keamanan siber untuk menemukan bug-bug tersebut. Peningkatannya berasal dari kemajuan yang lebih luas dalam penalaran, perencanaan multi-langkah, dan perilaku agen yang otonom. Dengan basis kode target dalam sebuah kontainer terisolasi, ia membaca kode sumber, membentuk hipotesis tentang celah keselamatan memori, mengompilasi dan menjalankan perangkat lunak, menggunakan debugger seperti Address Sanitizer, memberi peringkat berkas berdasarkan kemungkinan kerentanan, dan menghasilkan laporan bug yang tervalidasi dengan eksploit proof-of-concept yang berfungsi.

Sebagian eksploit tersebut memerlukan arahan manusia yang hampir tidak ada. Tomshardware.com melaporkan bahwa kerentanan OpenBSD TCP SACK berusia 27 tahun, luapan integer yang halus yang memungkinkan penyerang secara jarak jauh menjatuhkan (crash) setiap host yang merespons dengan cara menyusun paket berbahaya, ditemukan secara otonom setelah kira-kira 1.000 kali dijalankan dengan total biaya di bawah $20.000. Bug FFmpeg H.264 berusia 16 tahun bertahan dari lebih dari lima juta pengujian otomatis dan beberapa audit sebelum Mythos menemukannya.

Hasil peramban mendapat perhatian khusus. Pada pengujian mesin JavaScript Firefox 147, Mythos menghasilkan 181 eksploit shell penuh dan 29 kasus kontrol-regiser. Claude Opus 4.6 menghasilkan dua eksploit shell di seluruh set pengujian yang sama. Model ini juga membangun rantai peningkatan hak kernel Linux yang berfungsi, dari user ke root pada server, setelah menyaring 100 CVE terbaru menjadi 40 kandidat yang dapat dieksploitasi dan berhasil mengeksploitasi lebih dari setengahnya.

Para validator manusia meninjau 198 laporan kerentanan model tersebut dan menyetujui penilaiannya atas tingkat keparahan 89% dari waktu, dengan kesepakatan 98% dalam satu tingkat keparahan.

Project Glasswing

Kurang dari 1% dari bug yang teridentifikasi sejauh ini telah dipatch sepenuhnya. Anthropic mengoordinasikan responsible disclosure, memublikasikan komitmen kriptografis SHA-3 untuk isu-isu yang belum dipatch, dan mengikuti timeline 90-plus-45 hari sebelum merilis rincian lengkap. Bug eksekusi kode jarak jauh server FreeBSD NFS CVE-2026-4747, yang berusia 17 tahun, memberikan akses root penuh tanpa autentikasi, termasuk di antara contoh-contoh bernama yang sudah masuk dalam pengungkapan.

Project Glasswing, yang diumumkan bersamaan dengan model, merupakan upaya Anthropic untuk mengarahkan kapabilitas-kapabilitas ini ke pertahanan sebelum alat serupa tersedia secara luas. Mitra pendiri mencakup Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, the Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks. Akses sedang diperluas ke lebih dari 40 organisasi perangkat lunak kritis tambahan.

Anthropic berkomitmen $4 million dalam donasi keamanan sumber terbuka: $2,5 juta ke Alpha-Omega melalui OpenSSF melalui Linux Foundation, dan $1,5 juta ke Apache Software Foundation.

Perusahaan mengakui bahwa alat AI seperti Mythos menurunkan hambatan untuk menemukan dan mengeksploitasi kerentanan, serta menandai risiko jangka pendek dari aktor negara, China, Iran, Korea Utara, dan Rusia, serta kelompok kriminal jika kapabilitas serupa menyebar tanpa kontrol. Perusahaan menggambarkannya sebagai periode transisi yang penuh kekacauan sebelum para pembela sepenuhnya mengintegrasikan teknologi tersebut.

Anthropic mengatakan rilis Claude Opus yang akan datang akan menyertakan pengaman untuk mendeteksi dan memblokir keluaran keamanan siber yang berbahaya, serta berencana memperkenalkan Cyber Verification Program untuk para profesional keamanan siber yang telah divetting. Laporan publik mengenai temuan mitra dan kerentanan yang dipatch diperkirakan dalam waktu 90 hari.