Claude Mythos nachází CVE-2026-5194 mezi více než 10 000 chybami

Claude Mythos nachází CVE-2026-5194 mezi více než 10 000 chybami

Projekt Glasswing společnosti Anthropic přinesl pozoruhodný výsledek: její model umělé inteligence Claude Mythos identifikoval během jediného měsíce více než 10 000 zranitelností s vysokou nebo kritickou závažností napříč hlavní softwarovou infrastrukturou. Mezi těmito nálezy byla i CVE-2026-5194, kritická chyba v široce používané kryptografické knihovně wolfSSL, která by útočníkům mohla umožnit padělat certifikáty a vydávat se za legitimní služby. Pro každého, kdo používá VPN nebo šifrovanou aplikaci, tento jediný objev ilustruje něco důležitého: zranitelnosti VPN kryptografie objevené umělou inteligencí již nejsou jen teoretickou hrozbou. Přicházejí rychleji, než většina cyklů oprav dokáže držet krok.

Co CVE-2026-5194 v wolfSSL znamená pro uživatele VPN a šifrovaných služeb

wolfSSL je odlehčená knihovna TLS a SSL používaná ve vestavěných systémech, zařízeních internetu věcí a, ano, v řadě implementací VPN a bezpečnostně kritických aplikací. Její malá stopa ji činí atraktivní pro prostředí s omezenými zdroji, což znamená, že často běží tam, kde je bezpečnostní kontrola minimální a aktualizační cykly pomalé.

Chyba označená jako CVE-2026-5194 je obzvláště závažná, protože se zaměřuje na ověřování certifikátů, mechanismus, který potvrzuje, že server je tím, za koho se vydává. Pokud lze tento proces podvrátit, útočník může provést útok typu man-in-the-middle: zachytávat šifrovaný provoz tím, že předloží padělaný certifikát, který klient přijme jako legitimní. Pro uživatele VPN to není jen drobná nepříjemnost. Kompromitovaný řetězec certifikátů znamená, že váš šifrovaný tunel by mohl končit na serveru ovládaném útočníkem, nikoli na vašem zamýšleném koncovém bodě, přičemž vše, co odešlete, bude na druhé straně viditelné v otevřené podobě.

Závažnost je zde umocněna povahou nasazení wolfSSL. Knihovny zabudované ve firmwaru nebo starších síťových zařízeních se zřídkakdy dočkají stejné pozornosti jako software pro koncové uživatele. Opravy mohou být vydány, ale trvá měsíce či roky, než se dostanou k zařízením v terénu.

Jak Claude Mythos našel za jeden měsíc více než 10 000 kritických chyb

Projekt Glasswing představuje nástup Anthropicu do oblasti výzkumu zranitelností s pomocí umělé inteligence. Model Claude Mythos, navržený pro hluboké technické uvažování, byl použit k systematické analýze softwarové infrastruktury v měřítku a rychlosti, kterým by žádný lidský tým nedokázal konkurovat. Výsledek – více než 10 000 zranitelností s vysokou nebo kritickou závažností za 30 dní – není jen velkým číslem. Signalizuje zásadní posun v tom, jak rychle lze mapovat útočnou plochu internetové infrastruktury.

Tradiční objevování zranitelností spoléhá na ruční kontrolu kódu, fuzzing nástroje a bezpečnostní výzkumníky, kteří procházejí kódovými bázemi po jednotlivých komponentách. Analýza s podporou umělé inteligence může pracovat na více kódových bázích současně, identifikovat jemné logické chyby, které automatické skenery přehlédnou, a korelovat nálezy napříč závislostmi. Objev wolfSSL je dobrým příkladem: chyby v ověřování certifikátů často vyžadují porozumění složitým logickým řetězcům napříč mnoha funkcemi, což je přesně ten typ uvažování, kde velké jazykové modely se schopnostmi porozumění kódu mohou přinést hodnotu.

Důsledky působí oběma směry. Pokud tyto zranitelnosti dokáže najít model Anthropicu, mohou je najít i nástroje umělé inteligence provozované hrozbovými aktéry. Závod mezi obránci a útočníky právě zrychlil. Stojí za zmínku, že společnost Anthropic sama zpřísňuje kontrolu přístupu ke své platformě AI; nedávno zavedla požadavky na ověření identity pro určité uživatele Claude, což odráží širší napětí mezi otevřeností a bezpečností při nasazování AI, jak bylo popsáno v článku Anthropic zavádí ověřování identity skutečným jménem pro uživatele Claude.

Proč bezpečnost VPN závisí na kryptografických knihovnách bez zranitelností

VPN jsou často popisovány jako nástroj pro soukromí a bezpečnost, ale jejich skutečná bezpečnostní záruka je jen tak silná, jak silné jsou kryptografické knihovny, na nichž stojí. Klient VPN může implementovat dokonalou dopřednou tajnost, používat šifrování AES-256 a uplatňovat politiku nulových záznamů, ale pokud knihovna TLS, která zajišťuje ověřování jeho certifikátů, obsahuje chybu umožňující padělání, je to vše podkopáno již ve fázi handshake.

To je problém závislostí v softwarové bezpečnosti. Žádná aplikace není ostrovem. Každý VPN klient, každá šifrovaná komunikační aplikace, každý server s podporou HTTPS spoléhá na knihovny třetích stran pro kryptografické operace. wolfSSL, OpenSSL, BoringSSL, mbedTLS: každá z nich měla ve své historii významné zranitelnosti. Heartbleed, který v roce 2014 postihl OpenSSL, je stále nejznámějším příkladem, ale nebyl to ojedinělý incident.

Zjištění projektu Glasswing naznačují, že objem neobjevených zranitelností ukrytých v těchto základních knihovnách může být mnohem větší, než bezpečnostní komunita dosud předpokládala. Deset tisíc kritických chyb za jeden měsíc kontroly s pomocí AI poukazuje na nahromaděné problémy, které procesy ruční kontroly nezachycovaly.

Co by měli uživatelé a poskytovatelé VPN dělat, zatímco se opravy šíří

Pro jednotlivé uživatele je nejpraktičtějším krokem výběr poskytovatele VPN, který se veřejně zavazuje k pravidelným bezpečnostním auditům třetích stran a je transparentní ohledně toho, jaké kryptografické knihovny jeho software používá a jak rychle aplikuje opravy. Poskytovatelé, kteří zveřejňují výsledky auditů, udržují jasnou politiku zveřejňování zranitelností a komunikují o aktualizacích knihoven, jsou podstatně lépe připraveni než ti, kteří tak nečiní.

Pro poskytovatele VPN a podnikové bezpečnostní týmy jsou okamžité priority jasné: proveďte audit svého softwarového kusovníku, abyste identifikovali všechny závislosti na wolfSSL, sledujte zveřejnění CVE-2026-5194 kvůli dostupnosti opravy a upřednostněte nasazení na všech součástech obrácených do internetu nebo zpracovávajících certifikáty. Pokud váš produkt používá wolfSSL ve firmwaru nebo vestavěných komponentách, je třeba tento plán aktualizací urychlit.

V širším pohledu jsou zjištění Claude Mythos signálem, že objevování zranitelností s pomocí AI se stane standardní součástí sady nástrojů bezpečnostního výzkumu. Poskytovatelé, kteří již nepoužívají automatizovanou analýzu ke kontrole vlastních kódových bází a závislostí, budou zaostávat jak za obránci využívajícími tyto nástroje, tak – což je kritické – za útočníky, kteří nečekají.

Co to znamená pro vás

Objev CVE-2026-5194 je konkrétní připomínkou toho, že nástroje pro ochranu soukromí jsou postaveny na vrstvách softwaru a nejslabší vrstva určuje vaši skutečnou bezpečnost. Zranitelnost umožňující padělání certifikátů v kryptografické knihovně není abstraktní hrozbou: je to druh chyby, která umožňuje sledování a krádež přihlašovacích údajů u uživatelů, kteří věří, že jsou chráněni.

Praktický závěr je tento: zeptejte se svého poskytovatele VPN, jaké knihovny používá, kdy naposledy absolvoval bezpečnostní audit třetí strany a jak řeší kritické aktualizace knihoven. Transparentnost v těchto otázkách je jedním z nejspolehlivějších signálů skutečné bezpečnostní úrovně poskytovatele. Vzhledem k tomu, že nástroje AI urychlují jak objevování, tak zneužívání zranitelností, záleží na této transparentnosti více než kdy jindy.