Project Glasswing: Claude fandt 10.000 sårbarhedskandidater på en måned
Anthropics Project Glasswing brugte Claude til at finde 10.000+ sårbarhedskandidater på en måned. Efter menneskelig validering var 1.726 reelle. Patching er nu flaskehalsen.
Kort fortalt
- 10.000+ sårbarhedskandidater fundet på en måned via Claude, på tværs af systemkritisk software
- Efter menneskelig validering var 1.726 reelle og exploiterbare, heraf 1.094 høj- eller kritisk-alvorlige
- Patching er nu flaskehalsen: kun 75 af 530 offentliggjorte bugs var lukket. Nogle open source-folk bad om at sætte tempoet ned
Hvad er Project Glasswing?
Project Glasswing er Anthropics defensive cybersikkerheds-initiativ bygget op om en ikke-offentlig udgave af Claude. I den første måned har Anthropic og omkring 50 partnere, heriblandt Cloudflare og Palo Alto Networks, brugt modellen til at gennemgå kode i mere end 1.000 open source-projekter og kritisk software. Resultatet var over 10.000 høj- eller kritisk-alvorlige sårbarhedskandidater.
Det vigtige ord er kandidater. AI-fund kræver stadig menneskelig ekspertvalidering. Af de 6.202 kandidater modellen flagede i open source-projekterne, viste 1.726 sig at være reelle, exploiterbare fejl efter gennemgang. Af dem blev 1.094 bekræftet som høj- eller kritisk-alvorlige. Cloudflare fandt for sin del omkring 2.000 sårbarheder i egne systemer, hvoraf 400 var høj- eller kritisk-alvorlige.
Den egentlige historie: vi kan ikke patche hurtigt nok
Pointen er næsten mere interessant end tallet. Fremskridt i softwaresikkerhed var før begrænset af, hvor hurtigt man kunne finde sårbarheder. Nu er det begrænset af, hvor hurtigt man kan verificere, offentliggøre og rette dem. Af 530 offentliggjorte høj- eller kritisk-alvorlige bugs var kun 75 lukket på opgørelsestidspunktet. En enkelt høj- eller kritisk-alvorlig fejl tager i gennemsnit omkring to uger at patche.
Flaskehalsen er menneskelig kapacitet til at triagere og rette. Nogle open source-vedligeholdere har endda bedt Anthropic om at sætte tempoet ned i offentliggørelserne, fordi de ikke kan følge med.
"Forhindringen er ikke længere at finde fejlene. Det er at have nok mennesker til at validere, offentliggøre og rette dem."
Sammenfattet fra dækningen af Project Glasswing, maj 2026
🇩🇰 Hvad betyder det for danske SMV'er?
De fleste danske SMV'er finder ikke selv sårbarheder med AI. Men I bruger software der gør: webshops, CMS'er, plugins og biblioteker bygget på open source. Når den slags initiativer finder tusindvis af huller, betyder det at flere opdateringer er på vej, og at de haster mere.
Den praktiske konsekvens er kedelig men vigtig: hold jeres systemer opdaterede. Når der kommer en sikkerhedsopdatering til WordPress, jeres webshop-platform eller et plugin, så installer den hurtigt. Glasswing-tallene viser at huller bliver fundet hurtigere end nogensinde, og at angribere kan bruge de samme teknikker.
Den bredere lektie for ledere: AI flytter flaskehalsen, men fjerner den ikke. Et værktøj kan finde tusind problemer på en uge, men nogen skal stadig prioritere og handle. Det gælder sikkerhed, og det gælder al anden AI-brug i virksomheden.
Vil du læse den oprindelige artikel?
Læs hos Help Net SecurityVi linker altid til den oprindelige kilde, så du kan verificere selv.
