תפריט
מבזקיםעדכנו אותנו
DC
מצב תצוגה
חיפוש

Anthropic משיקה את Project Glasswing: גישה מוגבלת ל-Claude Mythos Preview לאיתור חולשות סייבר

Anthropic השיקה את Project Glasswing, תוכנית סגורה שמעניקה לשותפים נבחרים גישה ל-Claude Mythos Preview לצורך איתור חולשות סייבר במערכות ארגוניות. החברה נמנעת בשלב זה מהשקה ציבורית של המודל בשל רגישות היכולות שלו בתחום אבטחת המידע, במהלך שעשוי להשפיע על שוק הסייבר, על הרגולציה ועל ארגונים בישראל.

תגיות
AnthropicסייברClaudeאבטחת מידעAI
מניות רלוונטיות:⚠️ ניתוח AI - אינו ייעוץ פיננסי
NVDANVIDIA Corporation
הכתבה מציגה את Nvidia כשותפה מרכזית ביוזמת AI-סייבר מתקדמת, מה שמחזק את הביקוש לתשתיות חישוב ושבבים שלה עבור מודלים כבדים ויישומי אבטחה ארגוניים.
GOOGLAlphabet Inc.
Google מוזכרת כשותפה ישירה במהלך, והרחבת שימושי AI בתחום הסייבר עשויה לתמוך בפעילות הענן וה-AI שלה ולחזק את מעמדה בתשתיות ארגוניות.
AMZNAmazon.com, Inc.
Amazon Web Services נכללת בין השותפות, ולכן מהלך כזה עשוי להגדיל שימוש בענן ובשירותי AI/אבטחה של AWS מצד ארגונים גדולים.
MSFTMicrosoft Corporation
Microsoft מופיעה כשותפה ביוזמה, והחדשות תומכות בביקוש לפלטפורמות הענן, האבטחה וה-AI שלה בסביבות ארגוניות רגישות.
CRWDCrowdStrike Holdings, Inc.
CrowdStrike מוזכרת כשותפה רלוונטית, והמעבר לכלי סייבר מבוססי reasoning עשוי לחזק ספקיות אבטחה שמצליחות להשתלב מוקדם עם מודלי AI מתקדמים.

Anthropic מרחיבה את פעילותה בתחום אבטחת המידע עם השקת Project Glasswing, יוזמה חדשה שמחברת בין מודל AI מתקדם לבין מערכי הגנה של ארגוני ענק, ספקיות תשתית וחברות תוכנה. לפי דיווח ב-The Verge ופרטים שפורסמו בימים האחרונים במקורות נוספים, החברה מעניקה לשותפים נבחרים גישה ל-Claude Mythos Preview, מודל כללי חדש בעל יכולות מתקדמות במיוחד בקידוד, ניתוח ותפעול אוטונומי של משימות סייבר. המטרה המוצהרת היא לאפשר זיהוי מהיר של חולשות קריטיות במערכות ארגוניות, לעיתים כמעט ללא התערבות אנושית. מבחינת Anthropic, זו אינה עוד הדגמת יכולת טכנולוגית, אלא ניסיון לבנות מסלול הפצה סגור ומפוקח למודל שלדבריה חזק מדי לשחרור ציבורי בשלב זה.

מה בדיוק הושק במסגרת Project Glasswing

ליבת ההכרזה היא שילוב בין תוכנית שותפים רחבה לבין מודל ניסיוני חדש בשם Claude Mythos Preview. לפי The Verge, השותפות כוללת בין היתר את Nvidia, Google, Amazon Web Services, Apple, Microsoft, JPMorgan Chase, Broadcom, Cisco, CrowdStrike, Palo Alto Networks, Linux Foundation ועוד עשרות גופים שמפתחים או מתחזקים תשתיות תוכנה. Anthropic מתארת את המהלך ככלי שנועד לאפשר לארגונים לסרוק מערכות פנימיות, לזהות חולשות חמורות ולסייע בתיקונן לפני שתוקפים ינצלו אותן. החברה אף ציינה כי המודל הצליח באחרונה לאתר אלפי חולשות בדרגת חומרה גבוהה, כולל במערכות הפעלה מרכזיות ובדפדפנים מובילים. מבחינת מיצוב, Glasswing אינו מוצר מדף לצרכן או למפתח בודד, אלא תוכנית סגורה לארגונים בעלי אחריות תשתיתית רחבה.

  • גישה מוגבלת ל-Claude Mythos Preview רק לשותפים נבחרים.
  • מיקוד באיתור חולשות קריטיות במערכות ארגוניות ובתשתיות תוכנה.
  • שילוב חברות ענק, ספקיות ענן, יצרניות שבבים, בנקים וקרנות קוד פתוח.
  • סבסוד ראשוני מצד Anthropic כדי לעודד שימוש והטמעה.
  • שיח מקביל עם גורמי ממשל בארה"ב על יכולות התקפיות והגנתיות של המודל.

אחד המרכיבים המסקרנים ביותר הוא אופי העבודה של המודל. לפי The Verge, Anthropic מדגישה ש-Mythos Preview לא אומן מלכתחילה כמודל סייבר ייעודי, אלא נשען על יכולות agentic מתקדמות בקידוד, בהסקה ובביצוע משימות. בפועל, המשמעות היא מודל שמסוגל לא רק לנתח קוד או לנסח המלצות, אלא גם ליזום תהליכים של איתור חולשות, לבנות תרחישי ניצול ולחפש דפוסים דומים במערכות נוספות. זה הבדל חשוב לעומת כלים מסורתיים של static analysis או סריקות חתימה: כאן מדובר במערכת שמסוגלת לחשוב במונחים של תוקף ושל מגן גם יחד. Anthropic מציגה זאת כדרך לתת למגינים "מקדם פתיחה" מול יריבים, אך באותה נשימה מודה שהיכולות הללו עצמן הן הסיבה המרכזית להגבלת ההפצה.

למה Anthropic לא משחררת את המודל לציבור

הסיפור סביב Claude Mythos Preview חריג אפילו בסטנדרטים של שוק ה-AI הנוכחי. לפי The Verge, הגישה למודל נחסמת במכוון כדי למנוע משחקנים עוינים להשתמש בו לאיתור נקודות תורפה ולביצוע מתקפות. דיווחים מוקדמים ב-Axios וב-Fortune כבר רמזו בשבועות האחרונים שמדובר במודל שאינו מיועד בינתיים לפרסום רחב בגלל רגישות סייבר חריגה. ב-Axios דווח כי Anthropic הזהירה בכירים בממשל האמריקאי מפני האפשרות שמודלים מהדור הבא יאפשרו מתקפות רחבות היקף בקצב ובעצמאות חסרי תקדים. אותו קו ממשיך כעת בהכרזה הרשמית למחצה: במקום API פתוח או מוצר מסחרי זמין, החברה בוחרת במתכונת של גישה פרטית, מבוקרת ומוגבלת לשותפים שניתן לפקח על אופן השימוש שלהם.

השמרנות הזו אינה מגיעה בחלל ריק. בחודשים האחרונים Anthropic כבר הציגה מודלים וכלים שהפגינו יכולות חזקות באיתור חולשות תוכנה. לפי Axios, Claude Opus 4.6 סייע באיתור מאות חולשות zero-day בקוד פתוח, כולל במרכיבי תוכנה נפוצים במיוחד. ב-The Verge נטען כעת כי Mythos Preview עבר שלב נוסף, עם איתור אלפי חולשות חמורות, ובחלק מהמקרים גם פיתוח exploit-ים קשורים באופן אוטונומי. זה ניסוח משמעותי: לא רק זיהוי של באג, אלא גם הבנה מעשית כיצד ניתן לנצל אותו. עבור אנשי סייבר, זהו קו הגבול שבין כלי מחקר מועיל לבין מערכת שעלולה להפוך, אם תופץ ללא בקרה, למכפיל כוח לתוקפים. לכן ההחלטה של Anthropic נראית פחות כמו עיכוב שיווקי ויותר כמו ניסוי במדיניות הפצה מבוססת סיכון.

ההקשר הרחב: מירוץ חימוש הגנתי והסתבכות מול וושינגטון

ההשקה מגיעה ברגע רגיש במיוחד עבור Anthropic. במקביל לקידום Glasswing, החברה מתמודדת עם ביקורת ציבורית ופוליטית סביב דליפות קוד, נהלי בטיחות פנימיים והיחסים שלה עם הממשל האמריקאי. לפי Axios, חבר הקונגרס Josh Gottheimer דרש מהחברה הסברים לאחר דליפות חוזרות של חומרי קוד הקשורים ל-Claude Code, והזהיר מפני השלכות אפשריות על ביטחון לאומי. במקביל, AP דיווחה שבית משפט פדרלי חסם זמנית צעדים של הממשל נגד Anthropic במסגרת עימות סביב השימוש האפשרי ב-Claude ביישומים צבאיים ובמערכות מעקב. בתוך ההקשר הזה, ההכרזה על Project Glasswing משרתת גם מסר פוליטי: Anthropic מבקשת להציג עצמה כחברה שלא רק בונה מודלים חזקים, אלא גם מנסה לנתב אותם למסגרות נשלטות, הגנתיות ומבוקרות.

  • לחץ פוליטי גובר בארה"ב על חברות AI בנושאי בטיחות, דליפות ושימוש ביטחוני.
  • חשש גובר בתעשייה מפני מודלים agentic שיכולים לבצע משימות סייבר בקנה מידה רחב.
  • ניסיון של Anthropic לבדל את עצמה כחברה שמגבילה הפצה לפי רמת סיכון.
  • מעבר משיח על פרודוקטיביות כללית לשיח על תשתיות קריטיות וביטחון לאומי.

בהיבט העסקי, Glasswing מסמן גם שינוי במבנה שוק הסייבר. במקום למכור רק מודל כללי דרך ספקיות ענן, Anthropic בונה שכבת ערך אנכית: תוכנית שותפים, שימושים ייעודיים, סבסוד נדיב והבטחה למדידה ברמת חולשות אמיתיות. לפי The Verge, החברה תעמיד עד 100 מיליון דולר בקרדיטים לשימוש במערכת, לצד 4 מיליון דולר בתרומות ל-Linux Foundation ול-Apache Software Foundation. זהו צעד שמחבר בין אינטרס מסחרי לבין ניסיון להשפיע על אבטחת התשתיות שעליהן נשען האינטרנט כולו. במקביל, הוא מאותת לספקיות סייבר מסורתיות שהערך עובר בהדרגה מכלי זיהוי סטטיים למערכות reasoning אוטונומיות המסוגלות לבצע חקירה, השוואה, ניסוי והוכחה.

מה המשמעות הטכנית והעסקית לשוק הסייבר

מבחינה טכנית, ההכרזה מעידה על מעבר ממודלי עזר למודלים מבצעיים. עד לא מזמן, רוב מערכות ה-AI בתחום אבטחת המידע שימשו בעיקר לסיכום אירועים, כתיבת כללי זיהוי, ניתוח לוגים או סיוע בעבודה של אנליסטים. כעת, השאיפה היא לאפשר למודל לחפש לבדו חולשות בעלות ערך גבוה, להבין הקשר מערכת, להציע תיקון ואף לייצר מסלולי ניצול לצורכי אימות. זהו שינוי שמקצר משמעותית את הדרך בין גילוי תיאורטי לבין בדיקה מעשית. עבור ארגונים גדולים, היתרון ברור: צוותי סייבר מתקשים לעמוד בעומס של בסיסי קוד עצומים, תלויות פתוחות, DevOps מהיר ותשתיות ענן מורכבות. כלי שמסוגל לעבוד כמעט ברציפות על מיפוי וניתוח חולשות יכול להפוך לשכבת מגן חדשה. מנגד, אם יכולת כזו תזלוג החוצה, היא עלולה לצמצם מאוד את היתרון היחסי של המגן.

כאן גם מתחדדת השאלה אם מודלים כאלה ישנו את מבנה התחרות בשוק הסייבר. לפי דיווחים מהחודשים האחרונים, משקיעים כבר הגיבו בחשש לכניסת חברות AI לתחומים שנחשבו בעבר לנחלת ספקיות אבטחה ייעודיות. אם Anthropic, OpenAI וחברות נוספות יוכלו להציע מנגנוני איתור חולשות, red teaming אוטונומי ואפילו סיוע בתיקון, חלק מהערך עלול לעבור מהשכבה האפליקטיבית של מוצרי אבטחה קלאסיים אל שכבת המודל עצמו. עם זאת, סביר יותר שהתוצאה בטווח הבינוני תהיה שילוב: ספקיות סייבר יוסיפו מנועי reasoning משלהן או ישתלבו עם מודלים חיצוניים, בזמן שהלקוחות הגדולים ידרשו בקרה, auditability, הפרדת הרשאות וניהול סיכונים ברמה שמודלים כלליים עדיין לא מספקים לבדם.

  • האצת איתור חולשות בקוד פתוח ובמערכות פנימיות.
  • קיצור זמן המעבר בין גילוי חולשה לבין אימות מעשי ותיקון.
  • העלאת רף הציפיות מספקיות סייבר מסורתיות.
  • הגברת הדרישה לבקרות שימוש, רישום פעולות והרשאות מדויקות.
  • סיכון ממשי לכך שכלי הגנה יהפכו גם לכלי תקיפה אם יופצו ללא פיקוח.

הזווית הישראלית: הזדמנות גדולה, אבל גם דרישה למשמעת גבוהה יותר

מנקודת מבט ישראלית, המהלך של Anthropic חשוב במיוחד. ישראל מחזיקה בריכוז גבוה של חברות סייבר, מרכזי פיתוח, ספקיות תשתית ותעשיות ביטחוניות, וכולן מתמודדות עם אותו אתגר בסיסי: כמות הקוד, האינטגרציות והמערכות גדלה מהר יותר מהיכולת האנושית לבדוק אותן לעומק. מודל כמו Claude Mythos Preview עשוי, לפחות עקרונית, לסייע לחברות ישראליות לצמצם פערים בסריקת קוד, בהקשחת תשתיות ובאיתור חולשות בשרשרת האספקה. אבל לצד ההזדמנות, עולה גם דרישת סף ברורה יותר: ארגונים יצטרכו לנסח מדיניות שימוש מדויקת, להחליט אילו מערכות מותר לחשוף למודל חיצוני, לקבוע מי מאשר יצירת exploit לצורכי בדיקה, ולוודא שהמרדף אחר אוטומציה לא יוצר משטח תקיפה חדש דרך agents פנימיים או Shadow AI.

בסופו של דבר, Project Glasswing הוא הרבה יותר מהכרזה על עוד מודל. זהו מבחן לשאלה כיצד ייראה העידן הבא של AI בסייבר: האם מודלים רבי עוצמה יופצו באופן סלקטיבי תחת מנגנוני בקרה הדוקים, או שהשוק יידחף בהדרגה לכיוון של זמינות רחבה יותר גם במחיר סיכון גבוה. Anthropic בוחרת כרגע בגישה שמרנית יחסית: שותפים מעטים, תשתית ארגונית, פיקוח הדוק ושיח ישיר עם ממשל ועם גופי תשתית. אם התוכנית תוכיח את עצמה, היא עשויה להפוך לתבנית פעולה גם עבור חברות נוספות. אם תיכשל, או אם יתרחשו דליפות ושימושים לרעה, היא תחזק את הקריאות לרגולציה קשיחה יותר סביב מודלים בעלי יכולות סייבר מתקדמות. עבור התעשייה הישראלית, זו התפתחות שכדאי לעקוב אחריה מקרוב, לא רק כמגמה טכנולוגית אלא כסטנדרט חדש של אחריות תפעולית.

טוען...