EU får innsyn i Anthropics cybermodell

EU får et tidligere sete ved bordet når de kraftigste AI-verktøyene for cybersikkerhet testes. Bloomberg melder at Anthropic vil gi EUs cybersikkerhetsbyrå ENISA tilgang til Claude Mythos Preview, selskapets mest avanserte modell for å finne og utnytte sårbarheter i programvare.

Det er ikke en vanlig produktlansering. Mythos er nettopp modellen Anthropic har holdt tilbake fra bred distribusjon fordi den kan brukes både defensivt og offensivt. Den kan hjelpe sikkerhetsteam å finne feil raskere. Den kan også gjøre angripere raskere hvis kontrollene svikter.

Ifølge Bloomberg blir ENISA første EU-organ som får tilgang. Tilgangen skjer gjennom Project Glasswing, Anthropics kontrollerte program for organisasjoner som forvalter kritisk digital infrastruktur. Deltakerne får bruke Mythos til defensivt arbeid før modellen eventuelt slippes bredere. Anthropic skal ha varslet EU-kommisjonen om beslutningen i helgen.

For europeiske virksomheter er dette mer enn en leverandørnyhet. Det viser hvor raskt AI-sikkerhet er i ferd med å bli en offentlig beredskapssak. Når en modell kan finne og kjede sårbarheter i systemer, holder det ikke å diskutere API-tilgang og lisensvilkår. Spørsmålet blir hvem som får bruke verktøyet, til hvilke formål, under hvilke rapporteringskrav og med hvilken sporbarhet.

Anthropic har tidligere beskrevet Project Glasswing som et initiativ for å sikre kritisk programvare før stadig sterkere modeller kan vendes mot den. Lanseringspartnerne omfatter blant andre AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA og Palo Alto Networks. Selskapet har også oppgitt at rundt 50 partnere allerede har brukt Mythos Preview til å finne mer enn ti tusen sårbarheter med høy eller kritisk alvorlighetsgrad. Den flaskehalsen Anthropic peker på, er ikke lenger funn av feil, men verifisering, koordinert varsling og patching.

Det er en viktig endring for CIO-er og CISO-er. AI kan gjøre sårbarhetshåndtering mindre avhengig av manuell jakt. Men den gjør også køen etter funnene lengre. Flere funn betyr flere risikovurderinger, flere leverandørvarsler, flere endringsvinduer og mer press på systemeiere. Organisasjoner som ikke har ryddige prosesser for ansvar, prioritering og dokumentasjon, kan få en raskere alarmklokke uten bedre evne til å handle.

ENISA-tilgangen gir EU en mulighet til å forstå modellen fra innsiden før markedet fylles av lignende kapabiliteter. Det passer inn i en bredere europeisk linje der AI Act, NIS2 og cybersikkerhetsregulering trekkes tettere sammen. Modeller som Mythos er ikke bare programvareverktøy. De blir infrastruktur for sårbarhetsøkonomien. Dermed blir også tilsyn, tilgangsstyring og hendelseshåndtering en del av konkurransebildet mellom USA, EU og store AI-leverandører.

Bloomberg-saken kommer etter en periode med press fra europeiske myndigheter for å få tidligere tilgang til de mest sensitive modellene. CNBC skrev i mai at OpenAI ville gi EU tilgang til en ny cybermodell, mens Anthropic da fortsatt holdt igjen på Mythos. Nå ser Anthropic ut til å gi EU et kontrollert innsyn, men ikke et fritt markedsslipp. Det er et kompromiss mellom innovasjon, geopolitikk og risiko.

For norske virksomheter er den praktiske konsekvensen klar. AI-baserte sikkerhetsverktøy må behandles som høyrisiko-kapabiliteter, ikke som vanlige skytjenester. Innkjøp bør kreve tydelige rammer for databehandling, loggføring, bruksbegrensning, funnrapportering og håndtering av sårbarheter som angår tredjeparter. Det holder ikke at leverandøren sier at modellen er defensiv. Bruken må kunne etterprøves.

Styrene bør også merke seg tempoet. Når modeller kan avdekke store mengder sårbarheter, øker verdien av patch-evne og leverandørstyring. Den virksomheten som ikke vet hvilke systemer som er kritiske, hvem som eier dem og hvor raskt de kan oppdateres, får liten glede av bedre AI-jakt. Den får bare mer synlig teknisk gjeld.

Denne saken handler derfor ikke bare om at ENISA får tilgang til en ny modell. Den handler om at AI-kappløpet flytter seg inn i selve sikkerhetsapparatet. Fremover blir spørsmålet ikke om slike modeller finnes. Spørsmålet blir hvem som får bruke dem først, hvem som får se funnene, og om forsvarerne klarer å tette hullene før angriperne automatiserer den samme jobben.

Kilder og medier

• Kilde: Bloomberg, «Anthropic to Give Mythos to First EU Body Ahead of Wider Release», https://www.bloomberg.com/news/articles/2026-06-01/anthropic-to-give-eu-s-cybersecurity-agency-access-to-mythos
• Bakgrunn: Anthropic Project Glasswing, https://www.anthropic.com/project/glasswing
• Bakgrunn: Anthropic Project Glasswing initial update, https://www.anthropic.com/research/glasswing-initial-update
• Bakgrunn: CNBC om OpenAI, EU og cybermodeller, https://www.cnbc.com/2026/05/11/openai-eu-cyber-model-anthropic-mythos-gpt.html
• Thumbnail: OpenAI Image 2 / hogby.ai