AI hittar 23 000 säkerhetsbrister i kritisk infrastruktur – men vem granskar granskaren?

När AI-säkerhet blir en geopolitisk fråga

Det är inte längre bara teknikbolag som sitter vid förhandlingsbordet när AI-säkerhet diskuteras. Enligt uppgifter från Financial Times ingår nu Nato och EU:s cybersäkerhetsbyrå ENISA bland deltagarna i Anthropics Project Glasswing – ett program som använder AI-verktyget Claude Mythos för att scanna kritisk programvara efter säkerhetsbrister. Det är en signal som är svår att tolka som annat än ett tektoniskt skifte: AI-säkerhet har blivit en geopolitisk angelägenhet.

Sedan programmet lanserades i april med ett femtiotal samarbetspartners har det nu öppnats upp för ytterligare 150 organisationer, rapporterar SecurityWeek. De nya deltagarna är verksamma inom samhällskritiska sektorer – energiförsörjning, vattenhantering, sjukvård, kommunikation och hårdvarutillverkning. En gemensam nämnare: ett lyckat cyberangrepp mot deras system skulle potentiellt kunna drabba mer än 100 miljoner människor och få allvarliga konsekvenser för nationell och global säkerhet.

Imponerande siffror – men också en tankeställare

Siffrorna som Anthropic presenterar är onekligen slående. Claude Mythos har hittills identifierat över 23 000 potentiella säkerhetsbrister, varav företaget bedömer att drygt 6 000 kommer att bekräftas som allvarliga fel. Organisationer som Mozilla, Palo Alto Networks och Cloudflare har redan rapporterat goda resultat från programmet.

Men här finns också en inbyggd spänning som förtjänar uppmärksamhet: av de tusentals identifierade bristerna har hittills bara 75 kritiska eller allvarliga fel faktiskt åtgärdats. Det är en siffra som berättar en viktig historia om klyftan mellan upptäckt och faktisk hantering – en klyfta som är lika gammal som cybersäkerhetsbranschen själv, men som förstärks dramatiskt när AI kan hitta problem i en takt som mänskliga team aldrig tidigare upplevt.

Detta är inte en kritik mot Anthropic – det är en strukturell utmaning för hela branschen. Att hitta sårbarheter är tekniskt lösbart. Att prioritera, lappa och verifiera dem i komplex, äldre kod inom organisationer med begränsade resurser är en helt annan sak.

Genuint initiativ eller strategisk positionering?

Låt oss vara ärliga om kontexten. Anthropic opererar i en bransch under enormt regulatoriskt och opinionsbildande tryck. EU:s AI-förordning träder i kraft, amerikanska tillsynsmyndigheter skärper blicken, och allmänhetens förtroende för AI-bolag är skört. Att lansera ett program med Nato och ENISA i deltagarförteckningen är inte bara teknisk välgörenhet – det är också ett mycket effektivt sätt att bygga institutionellt kapital och trovärdighet.

Men det ena utesluter inte det andra. Från ett affärsutvecklingsperspektiv är det faktiskt just när affärsintresset och samhällsnyttan sammanfaller som de mest hållbara initiativen uppstår. Anthropic har ett genuint intresse av att Claude Mythos bevisar sitt värde i verkliga miljöer. Deltagande organisationer har ett genuint intresse av bättre säkerhet. Och samhället har ett genuint intresse av att kritisk infrastruktur skyddas.

Den verkliga frågan är inte om motivet är rent – det är aldrig rent i en konkurrensutsatt bransch. Frågan är om strukturen håller och om resultaten levereras.

En ny standard för hur AI-bolag tar ansvar

Det som verkligen är anmärkningsvärt med Project Glasswing är inte siffrorna i sig, utan vad det signalerar om rollfördelningen i det framväxande AI-ekosystemet. Tidigare har AI-bolag huvudsakligen byggt verktyg och låtit andra ta ansvar för hur de används. Här tar Anthropic ett aktivt ägarskap över säkerhetskonsekvenserna av sina modellers kapacitet – och bjuder in myndigheter och försvarsorganisationer som granskande medskapare snarare än passiva köpare.

Om det mönstret sprider sig i branschen – och det finns starka marknadsmässiga skäl att tro att det kommer att göra det – står vi inför ett genuint paradigmskifte i hur teknikbolag förhåller sig till samhällsansvar. Inte som filantropi. Som affärsmodell.