Najgroźniejsze AI Anthropic wyciekło 14 dni po premierze
Dla Twojego biznesu
Jeśli używasz AI w firmie (chatbot, automatyzacja, integracja z CRM), Twoje dane lecą przez systemy dostawców i ich podwykonawców. Nawet Anthropic — firma która buduje najbezpieczniejsze AI na rynku — nie była w stanie utrzymać kontroli nad eksperymentalnym modelem przez 14 dni. Lekcja: nie ufaj że dostawca wszystko ogarnie. Pytaj kto ma dostęp do Twoich danych w ich systemach i u ich podwykonawców.
Sprawdź usługę →Kluczowe
- Mythos Preview to model Anthropic do cyberbezpieczeństwa — sam znajduje błędy dotąd nieznane i pisze działające narzędzia do ataku. Dostęp tylko dla 12 partnerów (AWS, Apple, Google, Microsoft, Nvidia i 7 innych).
- Grupa z Discord channel zgadła URL modelu na podstawie konwencji innych modeli Anthropic. Włamanie nie wymagało hakowania — tylko zgadnięcia adresu.
- Anthropic ogłosił model 7 kwietnia 2026, pierwsze nieautoryzowane logowania zaraz potem. Bloomberg dostał zrzuty ekranu i pokaz na żywo.
- Przeciek nie wszedł przez infrastrukturę Anthropic, tylko przez zewnętrznej firmy podwykonawcy z poświadczeniami. Pracownik podwykonawcy podobno pomagał grupie.
- Anthropic dał jednocześnie 100 milionów dolarów kredytów i 4 miliony grantów dla open-source security — żeby obrońcy mieli przewagę nad atakującymi. Przeciek tę logikę osłabia.
ROBIE NA STRONIE
Kto zrobi Ci strone lepiej niz Robie Na Stronie?
Najgroźniejsze AI Anthropic wyciekło 14 dni po premierze
Claude Mythos Preview — najnowszy i najbardziej restrykcyjnie chroniony model Anthropic do cyberbezpieczeństwa — wpadł w niepowołane ręce 14 dni po publicznym ogłoszeniu. Anthropic potwierdza incydent. Bloomberg ma dowody w postaci zrzutów ekranu i pokaz na żywo. Tak wygląda bezpieczeństwo AI w praktyce.
Dla Ciebie i dla mnie — czyli dla kogoś, kto może używa Claude w firmie, ChatGPT do automatyzacji albo myśli o wdrożeniu AI — to ważny sygnał. Nie dlatego, że Twoje konto jest zagrożone. Tylko dlatego, że pokazuje brutalnie: bezpieczeństwo AI jest tak silne, jak najsłabszy podwykonawca w łańcuchu dostawców.
Co się dokładnie stało?
Anthropic ogłosił 7 kwietnia 2026 nową inicjatywę — Project Glasswing — i nowy model Mythos Preview. Mythos to nie zwykły chatbot. To model który sam znajduje błędy dotąd nieznane w systemach operacyjnych i przeglądarkach, sam pisze działające narzędzia do ataku, sam łączy 4 luki w łańcuch żeby uciec z zabezpieczeń przeglądarki i systemu operacyjnego naraz. Praca, która zwykle zajmuje ekspertom miesiące, dla Mythos to nocna sesja.
Inżynierowie Anthropic bez wykształcenia w bezpieczeństwie testowali to tak: prosili model wieczorem o znalezienie luk zdalnego przejęcia kontroli nad komputerem — i rano mieli gotowe, działające narzędzia do ataku.
Dlatego Anthropic NIE udostępnił modelu publicznie. Dał dostęp tylko 12 wielkim partnerom: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, Palo Alto Networks plus sam Anthropic. Plus 40 dodatkowych organizacji do pracy obronnej. Plus 100 milionów dolarów w kredytach na wykorzystanie i 4 miliony grantów dla open-source security.
Logika była prosta: dajmy obrońcom narzędzie, zanim atakujący sami zbudują podobne. Tydzień, dwa tygodnie głowy przewagi mogą zadecydować o tym, czy któraś dziura zostanie załatana, zanim ktoś ją wykorzysta. Z mojej perspektywy — biznesu uczącego małe firmy jak korzystać z AI — to była dobra strategia. Ale zadziałała tylko, jeśli faktycznie powstrzymasz wyciek. Tu nie powstrzymano.
Marcin Grochala, Web Developer & SEO Specialist
Jak grupa się dostała?
Nie hakowali. Nie łamali zabezpieczeń. Zgadli URL modelu na podstawie konwencji adresów Anthropic dla innych modeli. Mała grupa komunikująca się przez prywatny kanał Discord, dedykowany śledzeniu nieujawnionych modeli AI, znała wzór adresów Anthropic — i po prostu wpisała przewidywany URL Mythos.
Zadziałało dlatego, że dostęp był po stronie zewnętrznej firmy podwykonawcy, nie samego Anthropic. Pracownik tego podwykonawcy podobno pomógł grupie się zalogować. Klucze były tam, gdzie nie powinny — albo kontrole były za luźne.
Anthropic potwierdza, że nic nie weszło do ich własnej infrastruktury. Ale efekt jest ten sam: model, który Anthropic chciał trzymać w ścisłej kontroli, dostał się do ludzi, którzy nie powinni mieć dostępu.
Co to oznacza dla mojej małej firmy?
Wprost: jeśli wpinasz AI do swojego biznesu — chatbot na stronie, automatyzacja w CRM, generowanie treści — Twoje dane przepływają przez systemy dostawcy i jego podwykonawców. Każde ogniwo to potencjalna luka. Anthropic ma najlepszych ludzi od bezpieczeństwa AI na świecie i przeciek wydarzył się i tak, w pierwszy tydzień.
Pewne rzeczy, które warto przemyśleć i zrobić w swojej firmie:
- Pytaj wprost dostawcę kto ma dostęp do Twoich danych. Nie tylko jego pracownicy — także podwykonawcazy. Jeśli odpowiedź jest mglista, masz pierwszy red flag.
- Ogranicz dane wysyłane do AI. Nie wszystkie pola CRM muszą iść do automatyzacji. Im mniej danych klienta wpada do systemu zewnętrznego, tym mniejsze straty przy incydencie.
- Włącz zapis po Twojej stronie. Kto z Twojej firmy używa AI, kiedy, w jakim zakresie. Bez tego nie zauważysz nadużycia, jeśli ktoś z zespołu zacznie wysyłać dane masowo.
- Limity na klucze API. Jeden klucz na zadanie, z budżetem i czasem ważności. Jeśli wycieknie, straty są ograniczone.
Polityczny kontekst — czemu to jest większe niż jeden incydent
Dzień wcześniej, 20 kwietnia 2026, Donald Trump powiedział w CNBC, że deal Pentagonu z Anthropic jest "możliwy" i że firma "jakoś się formuje". Anthropic jednocześnie pozywa Departament Obrony USA za uznanie ich za zagrożenie supply chain.
Linia obrony Anthropic w sądzie opiera się na argumencie: my potrafimy kontrolować dostęp do naszych najpotężniejszych modeli. Przeciek Mythos w pierwszy tydzień ten argument znacząco osłabia. Nie dla każdego — większość małych firm to nie obchodzi. Ale dla decydentów w Pentagonie, dla regulatorów, dla konkurencji w wielkim AI — to argument na talerzu.
Dla mnie najważniejsze jest co innego. Patrzę na to przez pryzmat właściciela małej firmy, który myśli "wpiąć AI do swojej działalności czy nie". Ten incydent nie jest argumentem przeciw AI. Jest argumentem za świadomym wpinaniem AI — z pytaniami do dostawcy, z limitami, z zapism.
Informacje o technologiach AI maja charakter informacyjny. Opisane funkcje i produkty moga ulec zmianie.
Najczestsze pytania
Czy moja firma jest w niebezpieczeństwie, jeśli używa Claude lub innego AI?
Nie bezpośrednio z powodu tego incydentu — Mythos to specjalny model dla cyberbezpieczeństwa, niedostępny publicznie. Ale szerszy wniosek dotyczy każdego, kto używa AI w biznesie: Twoje dane lecą przez systemy dostawcy i jego podwykonawców. Każde takie ogniwo to potencjalna luka. Nawet największe firmy AI nie zawsze utrzymają kontrolę.
Co to jest Mythos i dlaczego Anthropic go nie udostępnił publicznie?
Mythos to model Anthropic do cyberbezpieczeństwa, który sam znajduje błędy dotąd nieznane i pisze działające narzędzia do ataku. W testach inżynierowie bez przygotowania od bezpieczeństwa prosili go o znalezienie luk — i dostawali gotowe narzędzia do ataku rano. Te same zdolności, które pomagają obrońcom, byłyby katastrofą u atakujących. Dlatego Anthropic dał dostęp tylko 12 wielkim partnerom.
Jak grupa się dostała do Mythos?
Zgadła URL modelu. Anthropic ma konwencję adresów dla swoich modeli — grupa, która śledzi nieujawnione modele AI, prawdopodobnie znała ten wzór i wpisała przewidywany adres. To nie było hakowanie ani narzędzia do ataku — tylko zgadnięcie i wykorzystanie luki w kontroli dostępu po stronie zewnętrznej firmy podwykonawcy Anthropic.
Czy mała firma może coś z tego wyciągnąć dla siebie?
Tak. Lekcja dla każdego, kto wpina AI do swoich procesów: bezpieczeństwo Twojej automatyzacji jest tak silne, jak najsłabsze ogniwo w łańcuchu dostawców. Pytaj wprost — kto ma dostęp do moich danych u Was i u Waszych podwykonawców. Ogranicz to, co wysyłasz do AI. Stosuj limity i zapis po swojej stronie.
Czy ten incydent zaszkodzi Anthropic?
Tak, na dwóch frontach. Po pierwsze, podważa argument firmy w sądzie — Anthropic pozywa Departament Obrony USA za uznanie ich za zagrożenie supply chain, broniąc się że potrafi kontrolować swoje modele. Po drugie, Trump dzień wcześniej powiedział w CNBC, że deal Pentagonu z Anthropic jest 'możliwy' — przeciek daje argumenty tym, którzy są przeciw.
Komentarz Marcina
Patrzę na to z perspektywy małej firmy, której Claude czy ChatGPT mówi co napisać klientowi. Anthropic — firma która zatrudnia setki ludzi od bezpieczeństwa AI — nie utrzymała eksperymentalnego modelu przez dwa tygodnie. Nie dlatego, że ich obrona jest słaba, ale dlatego że dali dostęp 12 partnerom plus 40 dodatkowym organizacjom, a każda z tych firm ma własnych podwykonawców, własnych pracowników, własne luki. Dla mnie i dla Ciebie wniosek jest prosty: jeśli wpinasz AI do swojej firmy, traktuj to jak nowy nowy sposób na atak. Pytaj dostawcę kto ma dostęp i jak weryfikuje swoich podwykonawców.
Marcin Grochala, Web Developer & SEO Specialist
Co zrobic?
- Sprawdź kto u Twojego dostawcy AI ma dostęp do Twoich danych — pytaj wprost o podwykonawców zewnętrznej firmy.
- Ogranicz to co wysyłasz do AI — nie wrzucaj danych klientów które nie muszą tam być.
- Włącz zapis po stronie swojej firmy — kto, kiedy i jakie zapytania wysyła do AI.
- Ustaw budżet i limit czasowy na każdy klucz API — nawet jeśli ktoś go ukradnie, straty będą ograniczone.
Kto zrobi Ci strone lepiej niz Robie Na Stronie?
Strony www • SEO • GEO • Blogi firmowe • AI Automatyzacja
Marcin Grochala • +48 663 442 124 • kontakt@robienastronie.pl
Warto przeczytać na blogu
Chcesz miec strone, ktora zarabia?
Zadzwon — porozmawiajmyROBIE NA STRONIE
Kto zrobi Ci strone lepiej
niz Robie Na Stronie?
Marcin Grochala
tel. +48 663 442 124
kontakt@robienastronie.pl
robienastronie.pl