Mythos: Sikkerhedsrisiko eller magtstunt?

Claude Mythos Preview bliver beskrevet som så stærk til at finde og udnytte software-sårbarheder, at Anthropic ikke vil frigive modellen bredt. I stedet åbnes den for en lukket kreds af store virksomheder gennem Project Glasswing. Hvis selskabets vurdering holder, er det et sikkerhedspolitisk vendepunkt. Hvis ikke, er det stadig et demokratisk problem, at en privat virksomhed selv sætter grænsen for, hvem der må få adgang. 

En model lanceret som en advarsel

Da Anthropic lancerede Claude Mythos Preview den 7. april, skete det ikke som en normal produktopdatering. Mythos blev præsenteret som en generel frontier-model med så stærke cybersikkerhedskapabiliteter, at den ikke ville blive gjort alment tilgængelig. I stedet blev den placeret i Project Glasswing, som Anthropic beskriver som et initiativ til at sikre kritisk software og forberede industrien på en ny type AI-drevet cybertrussel.  

Det er en usædvanlig framing, men den hviler på mere end bare markedsføring. I Anthropics egen tekniske redegørelse skriver selskabet, at Mythos er “strikingly capable at computer security tasks”, og at modellen har nået et niveau, hvor den kan overgå alle andre end de mest erfarne mennesker i at finde og udnytte software-sårbarheder. Selskabet beskriver også konkrete fund i udbredt software og forklarer, at netop disse kapabiliteter er årsagen til, at modellen holdes tilbage fra offentligheden.  

Et spring — eller en fortælling om et spring?

Anthropic fremstiller Mythos som et kvalitativt spring, ikke en inkrementel forbedring. I selskabets egen beskrivelse er Mythos en model, der ikke er specialtrænet til cybersikkerhed, men som på grund af stærkere kodning og ræsonnering alligevel har udviklet markant bedre offensive cyberkapabiliteter end tidligere modeller. Anthropic har siden også fremhævet, at selskabet vil teste nye cyber-safeguards på mindre kapable modeller først, fordi Mythos ligger på et andet niveau.  

Men de mest spektakulære påstande om Mythos’ kapabiliteter stammer i høj grad fra Anthropic selv og fra selskabets eget system card. Der findes uafhængige tegn på, at modellen markerer et reelt skifte: Guardian har rapporteret, at UK’s AI Security Institute vurderer Mythos som et “step up” fra tidligere modeller og har set den gennemføre en kompleks 32-trins cyberangrebssimulering i tre ud af ti forsøg. Reuters har samtidig beskrevet voksende bekymring blandt regulatorer og centralbanker over modellens potentiale for misbrug. Men offentligheden kan stadig ikke efterprøve hele fortællingen direkte, fordi modellen netop ikke er offentligt tilgængelig.  

Hvad er det egentlig, system cardet beskriver

Noget af det vigtigste ved Mythos-historien er ikke bare, at Anthropic kalder modellen farlig, men hvad selskabet konkret siger, at den har gjort. I sin tekniske redegørelse — det såkaldte system card — beskriver Anthropic, at Mythos under test selv fandt og udnyttede hidtil ukendte sikkerhedshuller i alle større operativsystemer og alle større webbrowsere. Mange af fejlene var gamle, subtile og havde undgået opdagelse i årevis trods massiv menneskelig og automatiseret kontrol.

Tre eksempler giver et indtryk af omfanget:

En fejl i operativsystemet OpenBSD havde eksisteret i 27 år. Den gjorde det muligt at crashe en server udefra, blot ved at oprette forbindelse til den. OpenBSD er kendt som et af verdens mest sikkerhedsgennemgåede systemer — og alligevel fandt Mythos noget, som årtiers specialister havde overset.

I et browserangreb kædede modellen fire forskellige fejl sammen og brød dermed ud af to lag af sikkerhedsbarrierer — først browserens egen sandkasse, derefter operativsystemets. Det svarer til at finde fire forskellige låse i et sikkerhedssystem og åbne dem alle i rækkefølge, uden menneskelig hjælp.

Mod FreeBSD’s fildelingssystem udviklede Mythos en metode til fjernkontrol, der ville give en uautoriseret bruger fuld adgang til en server — det vil sige komplet kontrol over maskinen, udefra, uden at have nogen form for login.

Anthropic understreger, at dette kun er en brøkdel af det samlede billede. Over 99 procent af de sårbarheder, selskabet siger at have identificeret, er endnu ikke rettet. Derfor kan de kun vise de fund, der allerede er lappet. De offentliggjorte eksempler er altså en nedre grænse for modellens kapabiliteter — ikke en fuld oversigt.

Det er vigtigt, fordi det skaber et grundlæggende problem for offentligheden: Vi kan ikke selv efterprøve, hvor alvorlig risikoen faktisk er, fordi detaljerne af sikkerhedshensyn holdes tilbage. Vi er nødt til at stole på Anthropics egen udlægning.

Det mest opsigtsvækkende i redegørelsen er dog ikke bare, at Mythos finder fejl, men at den kan omsætte dem til fungerende angreb. Den tidligere topmodel, Opus 4.6, lykkedes kun to gange med at udnytte Firefox-fejl til at overtage programmet. Mythos gjorde det 181 gange. I yderligere 29 tilfælde opnåede den delvis kontrol. Og i Anthropics egne stresstests af fuldt opdateret software nåede Mythos helt til fuldstændig overtagelse af ti systemer — altså ikke bare at finde en fejl, men at bruge den til at tage komplet kontrol. Tidligere modeller stoppede typisk langt tidligere i processen.

Det er den type resultater, Anthropic bruger som begrundelse for, at Mythos ikke behandles som en almindelig modelopdatering.

Det defensive potentiale er også reelt

I debatten om Mythos er det værd at fastholde, at den samme kapabilitet, der gør modellen offensivt bekymrende, også repræsenterer et markant defensivt spring. En model, der scorer 93,9 procent på SWE-bench (SWE-bench Verified — et standardtest, hvor AI-modeller løser rigtige softwarefejl fra open source-projekter.) — altså autonomt løser næsten alle rigtige softwarefejl — kan ikke bare finde sårbarheder, men også skrive patches til dem. Den tekniske kæde fra opdagelse til rettelse kan i princippet køre fra ende til anden uden menneskelig indgriben.

Det er vigtigt, fordi det nuancerer fortællingen om asymmetri mellem angriber og forsvarer. Asymmetrien er reel, men den ligger ikke i modellens evner. Den ligger i de menneskelige processer, der omgiver den: verificering, test, udrulning, compliance, ansvarsfordeling. Det er disse processer, der gør forsvar langsommere end angreb — ikke modellen selv. En angriber kan lade modellen køre hele kæden autonomt. En forsvarer vælger at lægge menneskelige godkendelsesled ind, fordi vi endnu ikke har tillid til at lade en AI-model patche kritisk infrastruktur på egen hånd.

Det rejser et dilemma, som er mindst lige så vigtigt som selve trusselsvurderingen: Hvor meget menneskeligt tilsyn tør vi fjerne fra den defensive kæde for at matche angribernes hastighed — uden at skabe nye risici? Det er et spørgsmål, vi som samfund skal tage stilling til, ikke et spørgsmål, som Anthropic eller Glasswing kan besvare for os.

Project Glasswing: sikkerhedsinitiativ eller adgangsklub

Project Glasswing er kernen i Anthropics løsning. Ifølge Anthropic består initiativet af 12 kernepartnere, herunder AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA og Palo Alto Networks, mens mere end 40 yderligere organisationer får adgang til modellen for at hjælpe med at sikre kritisk software og infrastruktur. Selskabet har samtidig lovet op til 100 millioner dollars i usage credits og 4 millioner dollars i donationer til open source-sikkerhedsorganisationer.  

Det kan læses som ansvarlig risikostyring. Hvis en model faktisk er så stærk, at den kan accelerere offensiv hacking, er det ikke urimeligt at begynde med defensive miljøer og kontrolleret adgang. Men det kan også læses som noget andet: en ny form for privat gatekeeping, hvor de største virksomheder får tidlig adgang til samfundskritiske AI-kapabiliteter, mens resten må stole på producentens egen vurdering af risikoen. TechCrunch rejste netop dette spørgsmål få dage efter lanceringen: Beskytter Anthropic internettet — eller beskytter selskabet også sin egen position?  

Mythos er ikke alene — og det er pointen

En uge efter Anthropics lancering af Glasswing annoncerede OpenAI en udvidelse af sit eget program, Trusted Access for Cyber. Programmet giver tusindvis af verificerede sikkerhedsforskere og hundredvis af teams adgang til GPT-5.4-Cyber, en variant af GPT-5.4, der er specifikt finjusteret til defensivt cybersikkerhedsarbejde. Blandt partnerne er Bank of America, BlackRock, Citi, Cisco, CrowdStrike, Goldman Sachs, JPMorgan Chase, NVIDIA, Oracle og Palo Alto Networks — et overlap med Glasswings partnerliste, der er svært at ignorere.

Tilgangen adskiller sig dog på ét afgørende punkt. Hvor Anthropic begrænser adgangen til en lukket kreds og begrunder det med, at Mythos er for farlig til bred distribution, vælger OpenAI den modsatte framing. Som OpenAIs cyberforskningsteam formulerede det: “Vi mener ikke, det er praktisk eller hensigtsmæssigt centralt at bestemme, hvem der får lov til at forsvare sig.” OpenAI sigter mod bredere adgang med identitetsverificering som filter — ikke eksklusion som princip.

Det er væsentligt, fordi det viser, at spørgsmålet om AI-drevet cybersikkerhed ikke handler om én model. Det handler om en ny kategori af kapabiliteter, der er ved at nå modenhed hos flere laboratorier samtidig. Og at de to førende aktører har valgt diametralt modsatte strategier for at håndtere den samme risiko, understreger, at der endnu ikke findes konsensus om, hvad “ansvarlig udrulning” faktisk betyder i denne kontekst.

Den europæiske vinkel, som næsten mangler i dækningen

Set fra Europa er det ikke en lille detalje, at Glasswing domineres af amerikanske virksomheder og organisationer. Hvis frontier-modeller med denne type cyberkapabiliteter først distribueres gennem lukkede, amerikansk centrerede partnerskaber, risikerer Europa at stå på sidelinjen i en vigtig fase af udviklingen — både i forhold til forsvar, viden og institutionel afhængighed. Reuters’ dækning af regulatorisk bekymring uden for USA peger allerede i den retning: Mythos bliver ikke kun læst som en teknologisk nyhed, men som et spørgsmål om infrastruktur og beredskab.  

Det er derfor ikke nok at diskutere, om Mythos er “for farlig” til offentligheden. Det mindst lige så vigtige spørgsmål er, hvem der får mandat til at definere farligheden. Når det er en privat virksomhed, der både udvikler modellen, tester den, beskriver risikoen og designer adgangsregimet, er vi tæt på en form for privat regulering af teknologi med sikkerhedspolitisk betydning.  

EU rækker ud — Danmark tier

Den europæiske respons er begyndt, men den er reaktiv. Den 15. april mødtes EU-Kommissionen med Anthropic for at drøfte bekymringerne omkring Mythos. Kommissionens talsperson Thomas Regnier bekræftede, at man har modtaget information om modellens kapabiliteter, og at 

Anthropic har forpligtet sig til EU’s adfærdskodeks for generelle AI-modeller. Regnier understregede, at der inden for denne ramme er en forpligtelse til at vurdere og afbøde risici — også fra modeller, der måske aldrig tilbydes direkte i Europa.

Canadas finansminister Francois-Philippe Champagne har offentligt meldt ud, at han vil rejse 

Mythos-spørgsmålet med sine internationale kollegaer, med henvisning til en fælles interesse i at sikre finansiel infrastruktur.

I Danmark er tavsheden påfaldende. Styrelsen for Samfundssikkerhed (tidligere Center for Cybersikkerhed) vurderer allerede cybertruslen mod Danmark som “meget høj” og har i tidligere trusselsvurderinger beskrevet generativ AI som en forstærkende faktor. Men der foreligger endnu ingen offentlig dansk stillingtagen specifikt til Mythos’ kapabiliteter eller til spørgsmålet om europæisk adgang til defensive AI-modeller på dette niveau. Det er en bemærkelsesværdig stilhed i et land, der er blandt Europas mest digitaliserede — og dermed blandt de mest eksponerede for præcis den type trussel, Anthropic beskriver.

Spørgsmålet er, om det er en bevidst afventende holdning, eller om det afspejler en bredere europæisk usikkerhed om, hvordan man overhovedet forholder sig til en kapabilitet, man hverken har udviklet, testet eller fået adgang til.

Da den lukkede model alligevel slap ud

Fortællingen om kontrolleret adgang blev hurtigt udfordret. Reuters rapporterede 21. april, at en mindre gruppe uautoriserede brugere havde fået adgang til Mythos gennem et tredjepartsmiljø, og Anthropic bekræftede, at selskabet undersøgte rapporten. Guardian fulgte op og beskrev episoden som et alvorligt varsel om, hvor svært det er at sikre den type model, når den først er distribueret til eksterne miljøer.  

Det gør hele Glasswing-logikken mere skrøbelig. For hvis Mythos er for farlig til offentligheden, men heller ikke kan holdes fuldt sikkert inden for et lukket kredsløb, så er problemet ikke kun offentlig adgang. Så er problemet også den illusion af kontrol, som lukkede adgangsregimer kan skabe.  

Mere end en modelhistorie

Mythos er derfor interessant af to grunde på én gang. Den ene er teknisk: Der er gode grunde til at tage Anthropics advarsler alvorligt, også selv om de mest dramatiske påstande endnu ikke er fuldt uafhængigt verificeret. Den anden er politisk: Mythos viser, hvordan frontier-AI i stigende grad bliver styret gennem private adgangsregimer, hvor virksomheder ikke bare bygger modellerne, men også bliver dem, der afgør, hvem der må få del i dem.  

Anthropic vil gerne have, at Mythos læses som ansvarlig tilbageholdenhed. Måske er det delvist rigtigt. Men det er ikke hele historien. Den anden halvdel er, at frygt også kan fungere som adgangskontrol, markedsmagt og geopolitisk fordel. Hvis “for farlig til offentligheden” bliver den nye standardformel i AI-industrien, bør vi interessere os lige så meget for portvagterne som for teknologien bag porten.  

Vi laver journalistik om AI, fordi udviklingen går hurtigere end den offentlige samtale.

På AI Portalen forsøger vi at skabe overblik, perspektiv og kritisk indsigt i en teknologi, der allerede former alt fra arbejdsmarkedet til demokratiet — ofte uden at nogen bremser op og forklarer, hvad der foregår.

Hvis vores artikler hjælper dig med at forstå AI lidt bedre, så overvej at støtte arbejdet.

Et medlemskab gør én ting mulig: at vi kan blive ved med at undersøge, dokumentere og forklare, hvordan AI påvirker Danmark — uden investorer, uden PR-interesser og uden at jage hype.

Bliv medlem og vær med til at styrke uafhængig journalistik om AI.