En ny milepæl i krysspunktet mellom kunstig intelligens og cybersikkerhet er nådd. Anthropic annonserte torsdag at deres nyeste modell, Claude Opus 4.6, har identifisert over 500 tidligere ukjente sårbarheter med høy alvorlighetsgrad i åpen kildekode-programvare.
Funnene ble gjort under kontrollerte tester utført av Anthropics Frontier Red Team, og representerer et fundamentalt skifte i hvordan programvaresikkerhet kan håndteres i fremtiden. I motsetning til tradisjonelle verktøy som krever spesifikke instruksjoner, opererte modellen autonomt i et sandkasse-miljø.
Tenker som en sikkerhetsforsker
I en teknisk analyse publisert 5. februar 2026, beskriver forskerne hvordan modellen fikk tilgang til et virtuelt miljø med standard analyseverktøy. Det som skiller Claude Opus 4.6 fra konvensjonelle sårbarhetsskannere, er evnen til å resonnere rundt koden.
Tradisjonell sikkerhetstesting lener seg ofte tungt på såkalt «fuzzing» – en metode hvor man bombarderer programvaren med tilfeldige data for å fremprovosere feil. Den nye AI-modellen gikk imidlertid grundigere til verks:
- Den analyserte Git-historikk (endringslogger) for å forstå konteksten bak kodeendringer.
- Den identifiserte mønstre som historisk sett fører til feil.
- Den konstruerte egne «proof-of-concept»-utnyttelser for å validere at sårbarhetene var reelle.
Et konkret eksempel som trekkes frem er programvaren GhostScript, et utbredt verktøy for behandling av PDF- og PostScript-filer som også benyttes i mange norske virksomheter. Etter at innledende fuzzing feilet, analyserte modellen endringshistorikken, fant en relevant sikkerhetsoppdatering, og lette deretter etter lignende, upatchede sårbarheter andre steder i koden. Resultatet var oppdagelsen av feil som ifølge Anthropic «hadde gått under radaren i flere tiår».
Implikasjoner for norske virksomheter
For Norge, som er et av verdens mest digitaliserte samfunn, har disse funnene stor betydning. Programvarebiblioteker som GhostScript, OpenSC (for smartkort) og CGIF kjører i bakgrunnen på alt fra bedriftssystemer til kritisk infrastruktur i offentlig sektor.
At en AI-modell nå kan finne sårbarheter i denne typen infrastrukturkode autonomt, er både en velsignelse og en potensiell risiko. Det betyr at sikkerhetshull kan tettes raskere, men det krever også at vedlikeholdere av åpen kildekode får ressursene til å håndtere strømmen av nye feilmeldinger.
«Jeg ville ikke blitt overrasket om dette blir en av – eller hovedmåten – åpen kildekode sikres på fremover.»– Logan Graham, leder for Anthropics Frontier Red Team
Nye sikkerhetsmekanismer
Anthropic erkjenner den såkalte «dual-use»-problematikken: Verktøy som er gode til å finne feil for å fikse dem, er også gode verktøy for ondsinnede aktører som vil utnytte dem. I forbindelse med lanseringen har selskapet derfor introdusert nye sikringstiltak.
Selskapet har utviklet seks nye «prober» som overvåker modellens interne aktiveringer for å oppdage forsøk på misbruk i sanntid. Anthropic indikerer også at de kan komme til å implementere inngrep som blokkerer ondsinnet trafikk, selv om de innrømmer at dette kan skape friksjon for legitim sikkerhetsforskning.
Utfordrer 90-dagers-standarden
Funnet av over 500 null-dagers sårbarheter (feil som utviklerne ikke kjenner til) utfordrer dagens normer for varsling. Industristandarden har lenge vært en 90-dagers frist fra en feil oppdages til den offentliggjøres, slik at utviklere får tid til å lage en fiks.
Anthropic advarer om at denne tidsrammen kanskje ikke holder i møte med hastigheten og volumet av feil som oppdages av store språkmodeller (LLM-er). Selskapet etterlyser nye arbeidsflyter som kan holde tritt med AI-drevet oppdagelse.
Alle de over 500 sårbarhetene ble validert av eksperter før de ble rapportert til vedlikeholderne av prosjektene. De første sikkerhetsoppdateringene er allerede rullet ut, og arbeidet fortsetter med å sikre resten.
Saken ble først publisert på Tenkemaskin.no