Anthropic nosti esiin kyberturvan uuden pullonkaulan
Anthropic julkaisi 22. toukokuuta 2026 ensimmäisen laajemman tilannekatsauksen Project Glasswing -hankkeestaan. Projektissa yhtiön uutta Claude Mythos Preview -tekoälymallia käytetään kriittisten ohjelmistojen ja avoimen lähdekoodin haavoittuvuuksien perkaamiseen ennen kuin vastaavat työkalut päätyvät hyökkääjien käyttöön.
Uutisen ydin ei kuitenkaan ole pelkässä tekoälyn kyvyssä löytää bugeja. Anthropicin mukaan sen noin 50 kumppania ovat jo paikantaneet Mythos Preview’n avulla yli 10 000 korkean tai kriittisen tason haavoittuvuutta järjestelmistä, jotka pitävät internetiä ja yhteiskunnan perusinfrastruktuuria pystyssä. Samalla ongelman painopiste on siirtynyt: tekoäly automatisoi löytämisen, mutta todelliseksi pullonkaulaksi muodostuu löydösten todentaminen, vastuullinen raportointi ja päivitysten saaminen loppukäyttäjille.
Tämä tekee Glasswingista merkittävän uutisen myös suomalaisille ohjelmistotiimeille. Kun tekoälymallit kiihdyttävät sekä puolustavaa tutkimusta että mahdollisten hyökkäysten valmistelua, hitaista paikkaussykleistä kasvaa aiempaakin kriittisempi riski.
Avoimen lähdekoodin skannaus tuotti tuhansia löydöksiä
Anthropic kertoo skannanneensa viime kuukausien aikana yli tuhat avoimen lähdekoodin projektia. Näiden projektien varaan rakentuu merkittävä osa koko internetistä, mukaan lukien yhtiön oma infrastruktuuri.
Numerot ovat puhuttelevia. Mythos Preview löysi projekteista yhteensä 23 019 haavoittuvuusehdokasta, joista malli itse luokitteli 6 202 korkean tai kriittisen vakavuuden tapauksiksi. Riippumattomat tietoturvayritykset ja Anthropic ovat tähän mennessä arvioineet näistä vakavista löydöksistä 1 752. Arvioiduista löydöksistä 90,6 prosenttia osoittautui aidoiksi haavoittuvuuksiksi, ja 62,4 prosenttia vahvistettiin korkean tai kriittisen tason uhkiksi.
Anthropic laskee, että pelkästään nykyisellä osumatarkkuudella Mythos Preview on matkalla paljastamaan lähes 3 900 vakavaa avoimen lähdekoodin haavoittuvuutta, vaikka uusia löydöksiä ei enää tulisi. Yhtiö aikoo kuitenkin jatkaa skannauksia.
Julkinen dashboard tekee jonosta näkyvän
Anthropic avasi prosessin läpinäkyvyyttä varten koordinoidun haavoittuvuuksien ilmoittamisen kojelaudan. Sen data 22. toukokuuta 2026 kello 10.27 PT osoittaa, että Mythos Preview oli tuottanut 23 019 löydösehdokasta. Ulkopuolisten asiantuntijoiden tarkastamasta 1 900 löydöksestä 1 726 vahvistettiin valideiksi. Tämä tarkoittaa tälle joukolle 90,8 prosentin osumatarkkuutta.
Ilmoitettuja haavoittuvuuksia oli yhteensä 1 596, ja ne koskivat 281:tä eri avoimen lähdekoodin projektia. Anthropicin tietojen mukaan näistä oli paikattu 97, ja 88:lle oli ehditty julkaista virallinen CVE- tai GitHub Security Advisory -tunniste.
Luvut paljastavat alan kaksijakoisen todellisuuden. Malli takoo löydöksiä teollisessa mittakaavassa, mutta ihmisvetoinen korjausprosessi laahaa perässä. Anthropic huomauttaa osan ohjelmistojen ylläpitäjistä jopa pyytäneen hidastamaan ilmoitustahtia, sillä korjausten turvallinen suunnittelu ja julkaisu vievät aikaa. Yhtiön mukaan yhden korkean tai kriittisen haavoittuvuuden paikkaaminen kestää keskimäärin kaksi viikkoa.
Mythos ei ole tavallinen koodiskanneri
Cloudflare avasi omassa Project Glasswing -raportissaan, miksi Mythos Preview edustaa harppausta aiempiin yleiskäyttöisiin tekoälymalleihin verrattuna. Kyse ei ole vain pelkästä nopeudesta samanlaisessa työssä. Cloudflaren mukaan malli kykenee ketjuttamaan useita pienempiä virheitä yhdeksi toimivaksi hyökkäysketjuksi ja tuottamaan pitävät todisteet siitä, että haavoittuvuus on todella hyödynnettävissä.
Tämä muuttaa kyberturvan asetelmaa. Perinteinen koodiskanneri tyytyy liputtamaan yksittäisiä oireita, kun taas todellinen hyökkääjä etsii reittiä koko järjestelmän läpi. Jos tekoäly pystyy rakentamaan tällaisia reittejä, puolustuksen on mukauduttava: pelkkä bugilista menettää merkitystään. Tilalle tarvitaan kontekstia, priorisointia, nopeaa regressiotestausta ja suojauksia, jotka voidaan ottaa käyttöön ennen kuin täydellinen korjaus on valmis.
Myös Mozilla käytti Mythos Preview'ta Firefox-selaimen tietoturvan vahvistamiseen. Anthropicin yhteenvedon mukaan Mozilla löysi ja korjasi Firefox 150 -versiossa 271 haavoittuvuutta. Määrä on yli kymmenkertainen verrattuna Firefox 148:aan, jota perattiin edellisen sukupolven Claude Opus 4.6 -mallilla.
Mallia ei ole julkaistu yleiseen käyttöön
Anthropic tekee yhden asian täysin selväksi: Mythos-luokan malleja ei ole julkaistu yleisön saataville. Yhtiö myöntää suoraan, ettei yksikään toimija – se itse mukaan lukien – ole vielä kehittänyt riittäviä suojamekanismeja, joilla estettäisiin näin kyvykkäiden mallien valjastaminen vakavaa tuhoa tekeviin hyökkäyksiin.
Tämä on hankkeen kriittisin yksityiskohta. Glasswing ei ole tavanomainen tuotelanseeraus, vaan rajattu kumppaniohjelma hyvin kyvykkään kybermallin käytöstä puolustavaan työhön. Anthropic aikoo laajentaa ohjelmaa luotettujen toimijoiden, kuten Yhdysvaltain ja sen liittolaismaiden hallintojen kanssa. Laajempi julkaisu odottaa aikaa, jolloin turvakaiteet ovat nykyistä huomattavasti vahvemmat.
Suomen kannalta kyse on korjausnopeudesta
Suomalaisille yrityksille ja julkisen sektorin organisaatioille Glasswingin viesti on käytännöllinen: kun haavoittuvuuksien löytäminen halpenee ja nopeutuu, turvallisuuden ratkaisee yhä enemmän korjausprosessin kurinalaisuus. Jos tuotantoon päätyy tunnettu haavoittuvuus, hyökkääjän hyödyntämä aikaikkuna voi olla lyhyempi kuin mihin nykyiset IT-prosessit on mitoitettu.
Ohjelmistotiimeille tämä tarkoittaa käytännössä sitä, että kriittisten riippuvuuksien päivitysnopeus, regressiotestauksen laatu ja väliaikaisten suojausten käyttöönotto nousevat samaan keskusteluun. Löydösten määrä ei yksin kerro, mikä pitää korjata ensin. Tärkeää on ymmärtää, onko haavoittuvuus oikeasti saavutettavissa, mitä se mahdollistaa ja miten järjestelmää suojataan silloin, kun lopullista korjausta ei saada heti tuotantoon.
Tekoälypohjainen haavoittuvuustutkimus ei tee ihmisestä tarpeetonta. Se siirtää asiantuntijan työtä mallin löydösten vahvistamiseen, riskien arviointiin, korjausten suunnitteluun ja turvallisiin julkaisuihin. Tässä mielessä Project Glasswing ei ole kertomus automaattisesta tietoturvasta, vaan varoitus siitä, että ohjelmistoturvan tuotantokoneisto joutuu aiempaa kovempaan testiin.
Lähteet
- Anthropic: Project Glasswing: An initial update - https://www.anthropic.com/research/glasswing-initial-update
- Anthropic: Coordinated vulnerability disclosure dashboard - https://red.anthropic.com/2026/cvd/
- Cloudflare: Project Glasswing: what Mythos showed us - https://blog.cloudflare.com/cyber-frontier-models/
- Mozilla Hacks: Behind the Scenes Hardening Firefox with Claude Mythos Preview - https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/
