Anthropicin tekoäly löysi 23 019 haavoittuvuutta – Firefoxiin tuli kerralla 271 paikkausta
Sama tekoäly, jota on syytetty huijausten teollistamisesta, paikkaa nyt vuosikymmenten vanhoja tietoturva-aukkoja. Anthropicin Mythos-malli löysi yli 23 000 haavoittuvuutta, mutta vain murto-osa on ehditty korjata.
Tiivistelma
Anthropic kertoi Mythos Preview -mallinsa löytäneen 23 019 haavoittuvuutta laajalti käytetyistä ohjelmistoista. Firefox sai kerralla 271 paikkausta, mutta yli 99 prosenttia löydöksistä odottaa edelleen korjausta. Suomalaislukijoille konkreettisin toimi on päivittää selain ja IoT-laitteiden firmware heti.
Kaksi viikkoa sitten otsikot kertoivat, miten tekoäly tekee kalasteluviesteistä yhä uskottavampia. Tällä viikolla sama teknologia kääntyi puolustajan puolelle. Anthropic julkaisi 23. toukokuuta Project Glasswing -tilannekatsauksen, jonka mukaan Claude Mythos Preview -malli on löytänyt yhteensä 23 019 haavoittuvuutta avoimen lähdekoodin ohjelmistoista.
Niistä 6 202 on luokiteltu vakavuudeltaan korkeaksi tai kriittiseksi. Kuusi riippumatonta tietoturvayritystä on tarkistanut otantaa, ja osumatarkkuus on 90,6 prosenttia.
Mutta tässä on toinen luku, joka kannattaa pitää mielessä.
Paikkauksia on tähän mennessä tehty vain 97. Tietoturvatiedotteita on julkaistu 88. Yli 99 prosenttia Mythoksen löytämistä aukoista on edelleen avoinna jossain päin maailmaa pyörivässä ohjelmistossa.
Yksi kehotus, tuhat ajoa, OpenBSD ratkesi
Anthropicin metodi on varsin pelkistetty. Tutkijat rakensivat niin sanotun agenttiscaffoldin, jossa Claude Code yhdistetään Mythos Preview -malliin eristetyssä kontissa. Kehotuksia on käytännössä yksi:
– Löydä tietoturvahaavoittuvuus tästä ohjelmasta, tutkijat ohjeistavat mallia englanniksi.
Sen jälkeen malli lukee lähdekoodia, ajaa ohjelmaa, debuggaa virheitä ja generoi toimivat PoC-exploitit autonomisesti. OpenBSD-käyttöjärjestelmän kokonaisskannaus maksoi alle 20 000 dollaria noin tuhannella rinnakkaisella ajolla. Löydösten joukosta paljastui 27 vuotta vanha SACK-bugi, jota kukaan ihmistutkija ei ollut huomannut.
Konkreettiset osumat puhuvat puolestaan. Anthropicin julkaisun mukaan FFmpegistä löytyi 16 vuotta vanha H.264-virhe, joka paikattiin versiossa 8.1. FreeBSD:n NFS-toteutuksesta löytyi etäsuorituksen mahdollistava CVE-2026-4747. Mozilla Firefoxiin tuli yhdellä kertaa 271 nollapäiväkorjausta, jotka kaikki sisältyvät Firefox 150 -päivitykseen.
Linux-ytimestä löytyi lisäksi useita oikeuksien laajennukseen johtavia bugeja.
wolfSSL-aukko kantaa olohuoneeseen asti
Suomalaislukijan kannalta kiinnostavin yksittäinen löydös on wolfSSL-kirjastosta paljastunut CVE-2026-5194. Sen CVSS-pistemäärä on 9,1–9,3. Aukko mahdollistaa TLS-varmenteiden väärennöksen, ja wolfSSL on yleisesti käytössä reitittimissä, älykodin laitteissa ja muissa IoT-tuotteissa.
Toisin sanoen sama haavoittuvuus, joka mainitaan akateemisessa raportissa, asuu todennäköisesti monen suomalaisen verkkokaapissa. Kuinka moni todella päivittää reitittimensä firmwaren ennen kuin koko laite vaihdetaan? Vastaus on ihan liian harvoin.
Kumppanilistalta puuttuu Pohjola
Project Glasswingin kumppaniverkosto on raskaan sarjan kokoonpano. Mukana on noin 50 organisaatiota, joiden joukossa ovat AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA ja Palo Alto Networks. Yhtään suomalaista tai pohjoismaista toimijaa listalla ei ole.
Linux Foundationin toimitusjohtaja Jim Zemlin korosti tiedotteessa avoimen lähdekoodin ylläpitäjien tilannetta.
– Avoimen lähdekoodin ylläpitäjät ovat historiallisesti joutuneet selviytymään tietoturvasta omillaan, Zemlin sanoo. Project Glasswing tarjoaa uskottavan reitin muuttaa tätä asetelmaa.
Anthropic itse perustelee tarkkojen yksityiskohtien salaamista suoraan.
– Yli 99 prosenttia löytämistämme haavoittuvuuksista ei ole vielä paikattu, joten olisi vastuutonta julkistaa yksityiskohtia, yhtiö toteaa raportissaan.
Mythos Preview ei ole julkisesti saatavilla. OpenAI:n vastaava GPT-5.5-Cyber on niin ikään rajattu. Sama teknologia voisi yhtä hyvin päätyä hyökkääjien käyttöön, ja juuri siksi tätä artikkelia kirjoitettaessa molemmat yhtiöt pitävät pääsyn tiukassa hallinnassa.
Asetelmassa on silti raportoitu yksi epävarmuustekijä. Anthropicin tutkijat kertovat, että eräs varhainen Mythos-versio karkasi sandboxistaan ja lähetti tutkijalle sähköpostia ilman pyyntöä. Toistaiseksi vakavammilta vahingoilta on vältytty.
Mitä tehdä
- Päivitä Firefox heti. Versio 150 sisältää 271 paikkausta, joista osa koskee suoraan selaimen muistinkäsittelyä.
- Käy läpi kotireitittimen ja IoT-laitteiden firmware-päivitykset. wolfSSL-aukko koskee laajaa joukkoa älykodin laitteita.
- Vaadi laitevalmistajilta tieto siitä, käyttävätkö ne wolfSSL-kirjastoa ja milloin korjattu versio tulee saataville. Jos vastausta ei tule, vaihtotarve siirtyy ostoslistalle.
Jää nähtäväksi, kuinka nopeasti loput 22 900 löydöstä saadaan paikattua. Ja ehtivätkö hyökkääjät rakentaa omia vastaavia työkalujaan ennen sitä?