Anthropic הכריזה על תצוגה מקדימה מצומצמת של Mythos, מודל AI חדש מקטגוריית ה-frontier models של החברה, במסגרת יוזמת סייבר חדשה בשם Project Glasswing. לפי הדיווח הראשוני של TechCrunch, המודל לא יופץ לציבור הרחב בשלב זה, אלא יינתן לקבוצה מוגבלת של שותפים תעשייתיים לצורך עבודה הגנתית: איתור חולשות קוד, סריקת מערכות תוכנה פנימיות ופתוחות, וסיוע בהקשחת תשתיות קריטיות. לפי החברה, יותר מ-40 ארגונים שותפים ליוזמה, ובין השמות שהוזכרו נמנים Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft ו-Palo Alto Networks. עצם הבחירה להשיק את Mythos במסגרת תוכנית סגורה ומפוקחת, ולא כמוצר מסחרי פתוח, מלמדת הרבה על האופן שבו Anthropic תופסת את רמת הסיכון של המודל החדש ועל המתח הגובר בין קידום חדשנות לבין הצורך לשלוט ביכולות התקפיות שעשויות לצמוח ממנה.
מה הוכרז בפועל, ומה Anthropic טוענת לגבי Mythos
לפי TechCrunch, Anthropic מציגה את Mythos כמודל כללי לשימושי Claude, עם יכולות חזקות במיוחד בקידוד אייג'נטי, בהסקה מורכבת ובמשימות סייבר. החברה מדגישה שהמודל לא אומן ייעודית לתחום אבטחת המידע, אך למרות זאת הוא משמש היטב לסריקת קוד ולמציאת חולשות. הטענה הבולטת ביותר היא שבמהלך השבועות האחרונים Mythos זיהה אלפי חולשות zero-day, רבות מהן קריטיות, וחלקן במערכות ותיקות שקיימות כבר עשור או שניים. אם הנתון הזה יתברר כמדויק גם בבדיקות חיצוניות, מדובר בקפיצה משמעותית: לא רק שיפור הדרגתי באיכות הסיוע למפתחים, אלא מערכת שמסוגלת לתפקד כחוקר חולשות אוטונומי למחצה, בהיקף ובמהירות שמעט מאוד צוותים אנושיים יכולים לשחזר. חשוב להדגיש: בשלב זה אין לציבור גישה למודל, ולכן לא קיימת עדיין אפשרות עצמאית לאמת את טענות הביצועים במלואן.
- Mythos מושק כ-preview מוגבל ולא כהשקה רחבה לציבור או ל-API הכללי.
- המסגרת המארגנת היא Project Glasswing, יוזמת סייבר הגנתית עם יותר מ-40 שותפים.
- המטרה המוצהרת: איתור חולשות, הגנת תוכנה קריטית ושיתוף לקחים עם התעשייה בהמשך.
- לפי Anthropic, המודל מצא אלפי חולשות zero-day, רבות מהן ברמת חומרה גבוהה.
ההשקה מגיעה על רקע שורה של פרסומים מוקדמים שציירו את Mythos כמודל רגיש במיוחד. בסוף מרץ דיווח Fortune כי מסמכים פנימיים וטיוטות תוכן של Anthropic נחשפו בטעות בשרת נגיש לציבור, ובין החומרים הופיעו פרטים על מודל בשם Claude Mythos, שנקרא קודם לכן Capybara. לפי הדיווח, במסמכים דובר על מודל שהוא לא רק הגדול והחזק ביותר שהחברה פיתחה, אלא גם כזה שעלול להציב סיכוני סייבר חסרי תקדים אם ינוצל לרעה. ההדלפה הזו יצרה חריג תדמיתי לא מבוטל: חברת AI שמדברת בקביעות על בטיחות ועל Responsible Scaling, מצאה את עצמה מתמודדת עם אירוע אבטחה פנימי שבמסגרתו נחשף מידע על מודל שאמור היה להישמר תחת בקרה הדוקה. כעת נראה שהתגובה של החברה היא לא נסיגה מהשקה, אלא מודל פריסה מוגבל מאוד, עם דגש על שימוש הגנתי בלבד.
למה דווקא סייבר, ולמה עכשיו
כדי להבין את ההיגיון שמאחורי המהלך, צריך להסתכל על מה ש-Anthropic עצמה פרסמה בחודשים האחרונים. בפברואר דיווח Axios כי Claude Opus 4.6 הצליח למצוא יותר מ-500 חולשות לא מוכרות בעלות חומרה גבוהה בקוד פתוח, לעיתים כמעט ללא הכוונה אנושית. לפי אותו דיווח, צוות ה-frontier red team של החברה סיפק למודל סביבת עבודה עם כלים כמו Python, דיבאגר וכלי fuzzing, והמודל הצליח לא רק לזהות חריגות אלא גם להסיק מסקנות, לבדוק וריאציות דומות, ובמקרים מסוימים אף לנסח proof-of-concept. המסר שעלה משם היה חד: מודלים מתקדמים כבר עברו את הסף שבו הם רק עוזרים למתכנתים; הם מתחילים להפוך לעוזרי מחקר אבטחה פעילים. לכן Project Glasswing אינו צעד מפתיע, אלא המשך ישיר לקו החשיבה הזה: להעביר את היכולות קודם כול לצד המגן, לפני שהן מחלחלות באופן מלא גם לצד התוקף.
הדחיפות גוברת גם בגלל שינוי באופי האיום. בנובמבר פרסמה Anthropic ניתוח של קמפיין ריגול סייבר שבו שחקן עוין השתמש ב-Claude Code כדי לבצע חלקים נרחבים מאוד של הפעילות: מיפוי מטרות, מחקר חולשות, כתיבת exploit code, איסוף אישורים וקטלוג מידע שנגנב. לפי החברה, בסט-אפ הנכון מערכות אייג'נטיות יכולות לבצע 80% עד 90% מקמפיין תקיפה, עם מעט מאוד התערבות אנושית. המשמעות ברורה: אותו מנוע שמסייע לגלות חולשות ולתקן אותן יכול, בשימוש שגוי, להפוך למכפיל כוח לתוקפים. לכן ההחלטה להשיק את Mythos בתצורה סגורה ומבוקרת משקפת לא רק אסטרטגיית מוצר, אלא תפיסת ביטחון. Anthropic מנסה לבנות נתיב ביניים: לא לעצור את הקדמה, אבל גם לא לשחרר יכולת עוצמתית מדי אל השוק הרחב לפני שיש לה מסגרות פיקוח, תיעוד ולקחים אמפיריים מהשטח.
המשמעות הטכנית: לא עוד צ'אטבוט, אלא חוקר חולשות בקנה מידה תעשייתי
אם מתעלמים לרגע מההייפ ומתרכזים במישור הטכני, החידוש המרכזי ב-Mythos הוא לא רק רמת הדיוק בתשובות, אלא השילוב בין הסקה, קידוד, עבודה אייג'נטית ויכולת להתמיד במשימה מורכבת לאורך זמן. במונחי סייבר, המשמעות היא מודל שמסוגל לעבור על בסיסי קוד גדולים, לנסח השערות לגבי אזורי סיכון, להריץ בדיקות, להשתמש בכלי עזר, להשוות בין קבצים, לחפש דפוסים היסטוריים ולחזור על התהליך שוב ושוב, במהירות שלא דומה לעבודה ידנית. כאשר TechCrunch מדווח ש-Mythos משמש לסריקת תוכנות first-party ו-open source, צריך להבין שהפוטנציאל כאן רחב בהרבה מבאגים באפליקציה אחת. מערכות enterprise בנויות משכבות של תלויות, ספריות, קונטיינרים, רכיבי תשתית וקוד שצבר חוב טכני במשך שנים. מודל שמסוגל לזהות חולשה באחת השכבות האלו עשוי לייצר ערך עצום להגנה, אבל גם סיכון עצום אם אותה יכולת תופנה לכיוון ההפוך.
- סריקה רחבה של קוד פנימי וקוד פתוח לצורך איתור חולשות ישנות וחדשות.
- הצלבה בין ניתוח סטטי, הרצה ניסויית ושימוש בכלים כמו debuggers ו-fuzzers.
- זיהוי דפוסי פגיעות חוזרים והרחבת הבדיקה לאזורים סמוכים בקוד.
- סיוע לצוותי AppSec ו-SOC בתעדוף, תיעוד ותיקון מהיר יותר של ממצאים.
במובן הזה, Mythos עשוי לסמן את המעבר מהבטחה שיווקית כללית של AI למפתחים לשלב שבו מודלי שפה מתחילים לתפקד כמרכיב ליבה בפעילות AppSec ו-DevSecOps. זה גם מסביר מדוע השותפים הראשונים כוללים שמות כמו CrowdStrike, Cisco ו-Palo Alto Networks לצד ענקיות תוכנה ותשתית כמו Microsoft ו-Amazon. מדובר בארגונים שמנהלים נפחי קוד עצומים, מוצרי אבטחה, חשיפה למתקפות אמת ויכולת להחזיר פידבק תפעולי ברמה גבוהה. עבור Anthropic, זו כנראה סביבת ניסוי אידיאלית: לקוחות עם משמעת תפעולית, תשתיות מתקדמות ויכולת למדוד האם המודל באמת מפחית זמן גילוי, משפר כיסוי, או מסייע למצוא חולשות שבבדיקות רגילות לא היו מתגלות. אם Project Glasswing יפיק תוצאות משכנעות, המהלך הזה עשוי להפוך לתבנית העבודה של כלל השוק: שחרור מודלים חזקים מאוד קודם כול למעגלי שימוש מצומצמים, לפני פריסה מסחרית רחבה.
המתח הרגולטורי והעסקי סביב Anthropic
לצד ההיבט הטכנולוגי, אי אפשר להתעלם מהקונטקסט הפוליטי והרגולטורי. לפי TechCrunch, Anthropic מנהלת שיחות שוטפות עם גורמים פדרליים לגבי השימוש ב-Mythos. אלא שהשיחות הללו מתקיימות בזמן רגיש במיוחד: החברה מצויה במחלוקת מול ממשל טראמפ לאחר שהפנטגון סימן אותה כסיכון בשרשרת האספקה, בין היתר על רקע סירובה לאפשר שימוש בטכנולוגיה שלה למטרות של targeting אוטונומי או מעקב אחרי אזרחים אמריקאים. על הרקע הזה, השקה של מודל סייבר עוצמתי, גם אם למטרות הגנה, מקבלת ממד גיאו-פוליטי מובהק. היא מחייבת את Anthropic להוכיח שהיא מסוגלת גם לפתח יכולות מהמתקדמות בעולם וגם להחזיק מנגנוני שליטה, ניטור ואכיפה שיצדיקו את האמון של ממשלות ושל תאגידים גדולים. מסמך ה-Frontier Safety Roadmap של החברה, שפורסם לאחרונה, מדגיש בדיוק את הקו הזה: שיפור מתמשך של פרקטיקות אבטחה פנימיות, לוגים, גילוי חריגות, ניהול סודות והגנות על תהליכי אימון ופריסה.
מבחינה עסקית, Project Glasswing הוא גם דרך לעצב מחדש את השיח סביב ההדלפות האחרונות. במקום שהסיפור על Mythos יישאר תקוע בכותרות על מודל מסוכן שנחשף בטעות, Anthropic מנסה למסגר אותו כמודל עוצמתי שנפרס בזהירות תחת בקרה, בשיתוף גופים מובילים ובמטרה להגן על תשתיות תוכנה. זה מהלך חכם, אבל הוא גם מעלה רף גבוה של ציפיות. ברגע שחברה טוענת שמודל מסוים גילה אלפי zero-days ושהוא מיועד להקשחת תוכנות קריטיות, השוק ירצה לראות תוצאות מדידות: כמה ממצאים אכן אומתו, כמה תוקנו, כמה היו false positives, ומהו הערך בהשוואה לכלי AppSec קיימים. ללא שקיפות מספקת, קיים סיכון שהדיון ייסחף שוב לכיוון מיתוגי. עם שקיפות והוכחות, Anthropic עשויה לבסס לעצמה יתרון ברור במירוץ על AI ארגוני עתיר אחריות.
מה זה אומר לישראל ולתעשיית הסייבר המקומית
מנקודת מבט ישראלית, ההתפתחות הזו חשובה במיוחד. ישראל היא מעצמת סייבר לא רק במובן ההגנתי, אלא גם כמרכז עולמי למחקר חולשות, הגנת ענן, אבטחת קוד, SOC אוטומטי, מודיעין איומים ו-DevSecOps. המשמעות היא ש-Mythos אינו עוד מוצר AI כללי שמעניין בעיקר צוותי חדשנות, אלא פיתוח שעשוי להשפיע ישירות על חברות סייבר, על גופי ביטחון, על בנקים, על חברות ביטוח, על בתי תוכנה ועל סטארט-אפים שמפתחים כלי הגנה מבוססי AI. עבור השוק הישראלי, יש כאן גם איום וגם הזדמנות. האיום הוא שהסטנדרט הטכנולוגי עולה, וכלי AI אמריקאיים רבי עוצמה עלולים לרכז אצל ענקיות גלובליות חלק מהיכולות שבעבר היו נחלתם של צוותי מחקר ייעודיים. ההזדמנות היא שחברות ישראליות שיודעות לבנות שכבת orchestration, בקרה, explainability, אימות ממצאים וניהול הרשאות סביב מודלים כאלה, יכולות להפוך לשותפות טבעיות בגל הבא של שוק הסייבר הארגוני.
- לחברות AppSec ישראליות: הזדמנות לשלב מודלים חזקים בשכבות אימות, triage ותיקוף ממצאים.
- לגופי אנטרפרייז מקומיים: צורך דחוף במדיניות שימוש ב-AI לסריקת קוד, הרשאות וגישה למידע רגיש.
- לרגולטורים ולגופי ממשל: חידוד שאלות של אחריות, auditability ושימוש בכלי AI בסביבות קריטיות.
- לקהילת המחקר: מעבר ממיקוד ב-prompting ובקוד עזר למחקר על בקרה, monitoring ו-agent security.
השורה התחתונה היא ש-Mythos אינו רק עוד מודל חדש במירוץ בין מעבדות AI. הוא מבחן חשוב לשאלה רחבה יותר: האם התעשייה יכולה לשחרר יכולות סייבר חזקות מאוד בצורה אחראית, מדורגת ומבוססת בקרה, או שהשוק ידחוף מהר מדי להפצה רחבה לפני שההגנות יבשילו. לפי הדיווחים עד כה, Anthropic מנסה לבחור בדרך האיטית והמבוקרת יותר: שותפים נבחרים, שימוש הגנתי, שיתוף לקחים עם התעשייה ושיח רציף עם הממשל. אבל גם הנתיב הזה לא חף מסיכונים. ככל שהיכולות יוכחו, כך יגבר הלחץ לפתוח גישה רחבה יותר, וכך יגדל גם התמריץ של יריבים לנסות לעקוף מגבלות. מבחינת ארגונים בישראל ובעולם, המסר ברור: עידן ה-AI בסייבר כבר איננו תרחיש עתידי. הוא כאן, והוא מתחיל לשנות בפועל את מאזן הכוחות בין הגנה להתקפה.