Cloudflare: Mythos gjør små bugs til fungerende angrepskjeder

Cloudflare har gitt et sjeldent konkret innblikk i hva de nye cybermodellene faktisk gjør når de slippes løs på ekte produksjonskode. Selskapet har testet Anthropic Mythos Preview gjennom Project Glasswing og peker på én endring som norske sikkerhetsledere bør merke seg: modellen stopper ikke ved å finne enkeltsårbarheter. Den kan koble flere små svakheter sammen til en fungerende angrepskjede.

Det er forskjellen på en scanner og en angriper.

Cloudflare skriver at modellen ble kjørt mot mer enn 50 egne repositorier. Testene dekket blant annet runtime, edge data path, protokollstack, kontrollplan og åpne kildekodeprosjekter Cloudflare selv er avhengig av. Målet var både å finne feil i egen infrastruktur og å forstå hva angripere snart kan gjøre med samme type modeller.

Mythos Preview er ikke en allment tilgjengelig modell. Cloudflare fikk tilgang gjennom Anthropic-programmet Project Glasswing. Selskapet understreker at arbeidet ble gjort i et kontrollert miljø mot egen kode, og at alle funn ble triagert, validert og utbedret der det var nødvendig.

Hva Cloudflare faktisk så

Cloudflare trekker frem to egenskaper som skiller Mythos fra generelle frontier-modeller.

Den første er konstruksjon av angrepskjeder. En reell angriper bruker sjelden én bug alene. Angrepet bygges ofte av flere primitive svakheter: en use-after-free, en vilkårlig lese- eller skriveoperasjon, kontrollflyt som kan overtas, og kode som kan kjøres gjennom en kjede av teknikker. Cloudflare skriver at Mythos klarer å resonnere over slike steg og kombinere dem til en arbeidende proof of concept.

Den andre er bevisgenerering. Modellen skriver kode som skal trigge en mistenkt feil, kompilerer den i et scratch-miljø, kjører testen og justerer hypotesen når programmet ikke oppfører seg som ventet. Det høres teknisk ut, men styringspoenget er enkelt: en rapport med en fungerende PoC er noe sikkerhetsteam kan handle på. En vag mulig sårbarhet er bare mer kø.

Cloudflare sier at andre frontier-modeller også fant en del av de samme underliggende feilene. Forskjellen var ofte at de stoppet for tidlig. De beskrev hvorfor en bug kunne være interessant, men fullførte ikke kjeden som viste om den var utnyttbar. Mythos lukker mer av dette gapet selv.

Refusjoner holder ikke som sikkerhetsgrense

En av de viktigste observasjonene handler ikke om hvor flink modellen er, men om hvor ustabil sikkerhetsatferden kan være. Cloudflare skriver at Mythos Preview-versjonen de fikk gjennom Project Glasswing ikke hadde de ekstra sperrene som ligger i allment tilgjengelige modeller som Opus 4.7 eller GPT-5.5. Likevel presset modellen tidvis tilbake mot enkelte forespørsler.

Problemet var konsistens. Den samme typen oppgave kunne bli avvist i én kontekst og gjennomført i en annen. Cloudflare beskriver tilfeller der modellen først nektet å gjøre sårbarhetsarbeid på et prosjekt, men aksepterte samme type arbeid etter en urelatert endring i miljøet. I et annet tilfelle fant og bekreftet den alvorlige minnefeil, men nektet å skrive demonstrasjonsutnyttelsen før oppgaven ble formulert annerledes.

Det er et viktig signal for ledere. Modellsikkerhet kan ikke bare ligge i modellens egen vilje til å si nei. Hvis virksomheten bruker kraftige agenter til sikkerhetsarbeid, må kontrollene ligge rundt modellen også: tilgangsstyring, isolerte kjøremiljøer, logging, policy, godkjenning, dataavgrensning og menneskelig ansvar.

Støy blir en egen risiko

Cloudflare peker også på det praktiske problemet alle CISO-er kjenner: signal mot støy. AI-verktøy kan produsere flere funn enn mennesker rekker å vurdere. Det gjelder særlig i C og C++, der minnesikkerhetsfeil kan gi mange falske positive. Det gjelder også fordi modeller har en innebygd tendens til å finne noe når de blir bedt om å lete. Mulig, potensielt og i teorien er ikke en patch-plan.

Ifølge Cloudflare hjelper Mythos fordi den i større grad kan levere reproduksjonssteg og fungerende PoC-er. Men selskapet konkluderer ikke med at man bare kan peke en generisk kodeagent mot et stort repo. Tvert imot. Det fungerer dårlig for reell dekning. En enkelt agent følger én hypotese og mister oversikten når kontekstvinduet fylles.

Cloudflares svar er en harness, altså et styrt system rundt agentene. Først leser en agent repoet og lager arkitekturdokumentasjon, tillitsgrenser, entry points og attack surface. Deretter kjører mange smale jaktoppgaver parallelt. Cloudflare beskriver typisk rundt 50 samtidige hunters, hver med egne utforskende subagenter. Etterpå kommer en uavhengig valideringsagent som prøver å motbevise funnet, gap-fylling, deduplisering, sporing på tvers av repositorier og til slutt strukturert rapportering inn i et system.

Det er denne delen norske virksomheter bør ta med seg. Verdien ligger ikke bare i modellen. Den ligger i driftsoppsettet rundt modellen.

Konsekvensen for norske ledere

Cloudflare skriver at flere sikkerhetsteam nå snakker om to timers SLA fra CVE til patch i produksjon. Det høres handlekraftig ut. Det kan også bli farlig. Hvis regresjonstesting tar en dag, kommer man ikke til to timer uten å hoppe over noe. Da kan en AI-generert patch fjerne den opprinnelige feilen og samtidig ødelegge noe annet.

Dette gjør AI-sårbarhetsjakt til et styringsspørsmål, ikke bare et SOC-spørsmål. CIO, CISO og styret bør stille fem konkrete spørsmål nå:

• Hvilke kodebaser, biblioteker og leverandørkomponenter kan sikkerhetsagenter få lese?
• Hvilke verktøy får de kjøre, og i hvilke isolerte miljøer?
• Hvem eier beslutningen om at et funn er ekte, utnyttbart og må patches?
• Hvor raskt kan virksomheten rulle ut en fix uten å droppe regresjonstesting?
• Hvilke kontrakter med leverandører må endres når exploitability kan dokumenteres raskere enn før?

For norske selskaper med kritisk infrastruktur, finans, helse, energi eller stor programvareflate er dette spesielt relevant. Angripere får etter hvert bedre evne til å gjøre lavprioriterte bugs om til fungerende angrep. Forsvarere får samme type verktøy, men bare de som har kontroll på prosess, tilgang og utrulling får reell nytte. Resten får bare flere alarmer.

Cloudflare-saken er derfor mer enn en Anthropic-nyhet. Den viser hvordan sikkerhetsarbeid endrer form. Patch-SLA, triage-kapasitet, SBOM, leverandørkrav og produksjonsutrulling må behandles som én kjede. AI forkorter tiden mellom teoretisk sårbarhet og fungerende bevis. Det tvinger frem bedre styring.

Kilder og medier

• Primærkilde: Cloudflare Blog, Project Glasswing: what Mythos showed us, publisert 2026-05-18. https://blog.cloudflare.com/cyber-frontier-models/
• Publiseringstid verifisert mot Google News RSS: 2026-05-18T13:02:06Z. Cloudflare-siden viser datoen 2026-05-18.
• Cloudflare oppgir at arbeidet ble gjort i et kontrollert miljø mot egen kode, og at funn ble triagert, validert og utbedret gjennom selskapets formelle sårbarhetsprosess.
• Thumbnail: OpenAI Image 2 / hogby.ai.