Pada 18 Mei, Anthropic mengubah kebijakannya: sebelumnya, mitra yang menggunakan Mythos untuk menemukan kerentanan harus menangani temuan secara internal; kini mereka dapat berbagi satu sama lain, dengan regulator, media, dan bahkan publik.
Perubahan ini merupakan koreksi signifikan terhadap logika program Mythos.
Kebijakan sebelumnya bersifat tertutup
Mythos diluncurkan pada 7 April—sebuah model AI yang dilatih dengan Claude khusus untuk penemuan serangan, memindai perangkat lunak umum untuk menemukan kerentanan yang belum diketahui. Produk ini tidak dijual secara langsung, tetapi didistribusikan melalui Project Glasswing, sebuah program terkendali yang melibatkan 40 perusahaan termasuk Amazon, Microsoft, Nvidia, dan Apple. Tujuan desainnya adalah mengendalikan penyebaran—AI yang dapat menemukan kerentanan dapat disalahgunakan menjadi alat serangan.
Berdasarkan ketentuan awal, mitra hanya dapat menangani kerentanan yang ditemukan secara internal. Hal ini menciptakan situasi yang canggung:
Palo Alto Networks baru-baru ini menggunakan Mythos untuk memindai produknya sendiri, menemukan 75 kerentanan dalam satu bulan—tujuh kali lipat dari tingkat normalnya.
Jika Palo Alto tidak dapat membagikan temuannya, tingkat keamanan seluruh industri hanya akan meningkat di dalam Glasswing, meninggalkan perusahaan lain yang menggunakan produk rentan yang sama tanpa pengetahuan tentang masalah tersebut.
Apa yang berubah dan dengan siapa dapat berbagi
Menurut juru bicara Anthropic yang berbicara kepada Reuters:
"Kami sepenuhnya mendukung mitra kami untuk berbagi temuan satu sama lain dan dengan perusahaan di luar Glasswing untuk melakukan triase kerentanan."
Mitra kini dapat membagikan informasi kerentanan yang ditemukan Mythos kepada:
- Anggota Glasswing lainnya
- Perusahaan di luar Glasswing (vendor yang terkena dampak)
- Organisasi industri
- Regulator dan pemerintah
- Pemelihara perangkat lunak sumber terbuka
- Media
- Publik
Dengan syarat mengikuti norma pengungkapan yang bertanggung jawab—memberi vendor jendela perbaikan sebelum pengungkapan publik.
Mengapa perubahan sekarang
Ini bukan inisiatif Anthropic, tetapi didorong oleh permintaan mitra. Mitra khawatir bahwa mengetahui kerentanan saja membuat mereka menjadi sasaran. Misalnya, jika Perusahaan A menggunakan Mythos untuk menemukan zero-day pada basis data populer, berdasarkan aturan lama, Perusahaan A hanya dapat menambal penerapannya sendiri secara diam-diam. Namun penyerang dapat menyimpulkan kerentanan dari tambalan tersebut, sehingga mengekspos semua pengguna basis data yang sama.
Pelonggaran kebijakan ini secara efektif mengubah "informasi pertahanan" dari barang pribadi kembali menjadi barang publik—sejalan dengan konsensus komunitas keamanan tentang pengungkapan dini, luas, dan terkoordinasi.
Regulator juga menjangkau
Menurut laporan PYMNTS dan BusinessToday, Anthropic setuju untuk memberikan pengarahan khusus kepada Dewan Stabilitas Keuangan (FSB) tentang kemampuan dan temuan Mythos. Ini menyusul kekhawatiran dari gubernur bank sentral, Powell, dan Bessent setelah peluncuran Mythos pada April-Mei, serta minat dari regulator keuangan Asia dan Eropa. Anthropic kini telah membuka saluran komunikasi.
Apa arti langkah ini
Melihat garis waktu:
- 7 April: Mythos diluncurkan, pengujian tertutup
- April-Mei: Anggota Glasswing mengungkapkan temuan, bank sentral khawatir
- 18 Mei: Pembalikan kebijakan, temuan dapat dibagikan
Hanya dalam 40 hari, Anthropic beralih dari kontrol penyebaran ketat ke mendorong berbagi. Kunci pendorongnya adalah data mitra yang membuktikan kemampuan penemuan serangan Mythos secara struktural unggul, bukan insidental.
Pertanyaan selanjutnya adalah apakah Glasswing akan diperluas. Jika Anthropic meningkatkan skala dari 40 menjadi 100 atau 200 perusahaan, program ini dapat berevolusi dari proyek percontohan pameran menjadi infrastruktur industri.
Sebuah pertanyaan kini ada di meja setiap perusahaan besar: Jika tim keamanan Anda tidak menggunakan AI, dan lawan Anda menggunakannya, apa rencana Anda?
Sumber: Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN); Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS); Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday); CocoLoop; Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)