EU vil ha tettere USA-linje for cybersterke AI-modeller

EU vil intensivere samtalene med USA om de mest avanserte AI-modellene, særlig modeller med sterke cyberkapabiliteter. Det sier en talsperson for EU-kommisjonen til CNBC. Bakgrunnen er bekymringen rundt Anthropics Mythos-modell, en modell CNBC beskriver som så sterk på cyberoppgaver at både myndigheter og virksomheter har reagert.

Saken er ikke bare en ny modellhistorie. Den handler om hvem som får teste, bruke og kontrollere AI-systemer som kan finne og utnytte sårbarheter i kritisk programvare. For europeiske CIO-er og CISO-er er det et varsel om at neste runde med AI-risiko ikke bare kommer fra phishing, datalekkasjer eller dårlig prompt-hygiene. Den kommer fra frontier-modeller som kan flytte tempoet i sårbarhetsjakt, exploit-utvikling og forsvar.

CNBC skriver at Anthropic først ga en begrenset gruppe selskaper og organisasjoner tilgang til Mythos gjennom initiativet Project Glasswing. EU, EUs AI-kontor og andre offentlige aktører utenfor USA skal foreløpig ikke ha fått forhåndstilgang, med unntak av Storbritannias AI Security Institute. En person med kjennskap til samtalene sier til CNBC at Anthropic har bedt EU gå via den amerikanske administrasjonen for å få avklart tilgang.

Det er den praktiske nyheten: modelladgang er blitt geopolitikk. Når en modell kan ha betydning for nasjonal cybersikkerhet, blir spørsmålet om tilgang ikke bare et kommersielt API-spørsmål. Det blir eksportkontroll, alliansestyring og risikodeling.

Mythos setter cyberdelen av AI-løpet på spissen

Anthropic beskriver selv Project Glasswing som et initiativ for å sikre kritisk programvare i en AI-drevet cyberæra. På selskapets egen side omtales Claude Mythos 2 Preview som en generell, ikke allment lansert frontier-modell. Anthropic skriver at modellen viser at AI-systemer nå kan nå et nivå der de overgår de fleste mennesker i å finne og utnytte programvaresårbarheter.

Ifølge Anthropic har Mythos Preview allerede funnet tusenvis av alvorlige zero-day-sårbarheter, blant annet i alle større operativsystemer og nettlesere. Selskapet skriver også at slike modeller, uten nødvendige sikringer, kan gjøre cyberangrep hyppigere og mer ødeleggende. Den samme evnen kan samtidig gi forsvarere et kraftig verktøy for å finne og tette feil før angripere gjør det.

Det er her styre- og lederpoenget ligger. Den samme modellen kan være et forsvarssystem og et våpen. Den kan gi sikkerhetsteam bedre dekning enn tradisjonelle skannere. Den kan også gi angripere kortere vei fra sårbarhet til fungerende exploit. Det gjør kontrollregimet rundt modellene like viktig som selve modellkvaliteten.

USA vil balansere forsprang og sikkerhet

CNBC skriver at Det hvite hus sier det jobber tett med AI-labene for å finne balansen mellom innovasjon og sikkerhet. USAs finansminister Scott Bessent sa torsdag, ifølge CNBC, at USA ønsker å beholde ledelsen over Kina i AI-løpet, men samtidig finne riktig balanse mellom fremdrift og sikkerhet.

Det er en velkjent konflikt, men Mythos gjør den konkret. Hvis vestlige selskaper holder tilbake modeller for å hindre misbruk, kan forsvarere få dårligere tilgang til verktøyene som trengs for å tette hull. Hvis modellene slippes bredt, øker risikoen for at samme kapasitet brukes offensivt. EU ber nå om tettere tekniske samtaler både med USA og modellutviklere som har meldt inn sine nyeste modeller til EUs AI-kontor.

For europeiske virksomheter er dette et tidlig bilde av hvordan AI Act, nasjonale sikkerhetsmyndigheter og amerikansk AI-politikk kan gripe inn i leverandørstyringen. En CISO som vurderer AI-baserte sikkerhetsverktøy fra amerikanske leverandører, må ikke bare spørre om funksjoner og pris. Spørsmålene blir: Hvilken modell ligger under? Hvilke kapabiliteter er skjult eller begrenset? Hvem har fått evalueringsadgang? Kan leverandøren dokumentere sikkerhetstesting på tvers av jurisdiksjoner?

Konsekvensen for norske virksomheter

Dette er ikke en sak der norske selskaper skal vente på at reguleringen blir ferdig. Modeller med sterk cyberkapabilitet vil treffe innkjøp, risikovurderinger og beredskap lenge før alle rammer er avklart. Banker, industri, energi, helse og offentlig sektor bør særlig følge utviklingen. De har både gamle systemer, høye krav til robusthet og leverandørkjeder der en AI-drevet sårbarhetsjakt raskt kan endre risikobildet.

Tre grep bør inn i styringen nå. For det første må virksomheter skille mellom AI som hjelper sikkerhetsteamet og AI som selv har offensive kapabiliteter. Det er ikke samme risikoklasse. For det andre bør kontrakter med sikkerhetsleverandører kreve innsyn i modellbruk, evalueringsresultater og begrensninger. For det tredje bør beredskapsplaner oppdateres for et scenario der nye zero-days oppdages og operasjonaliseres raskere enn tradisjonelle patch-prosesser tåler.

Mythos-saken viser også at «AI-governance» ikke kan ligge alene hos innovasjonsmiljøet. Når modellene begynner å påvirke sårbarhetshåndtering og nasjonal cybersikkerhet, må CIO, CISO, juridisk, innkjøp og styre ha samme risikobilde. Det holder ikke å spørre om en modell er kraftig. Man må vite hvem som får bruke kraften, under hvilke begrensninger, og hvem som kan kontrollere påstandene.

Ikke et vanlig produktvalg

AI-løpet har lenge vært målt i benchmark, pris per token og nye agentfunksjoner. Cybersterke modeller gjør målingen smal. Hvis Mythos-klassen av modeller blir tilgjengelig for kunder de neste ukene, slik Anthropic ifølge CNBC venter, blir spørsmålet ikke bare hvem som får best sikkerhetsanalyse. Det blir hvem som får mest kontrollert tilgang til en ny type digital kapasitet.

For norske ledere er dette en tidlig varsellampe. Frontier-modeller er i ferd med å bli infrastruktur med sikkerhetspolitisk betydning. Da må styringen løftes fra pilot og proof of concept til leverandørrisiko, beredskap og regulatorisk dialog.

Kilder og medier

Primær nyhetskilde: CNBC, Kai Nicol-Schwarz, «EU seeks to 'intensify' talks with U.S. on advanced cyber AI models, official tells CNBC, amid Mythos concerns», publisert 29. mai 2026: https://www.cnbc.com/2026/05/29/mythos-ai-models-eu-talks-us.html

Bakgrunnskilde: Anthropic, «Project Glasswing: Securing critical software for the AI era»: https://www.anthropic.com/glasswing

Thumbnail: OpenAI Image 2 / hogby.ai