Što je CVE-2026-5194?

CVE-2026-5194 je kritična ranjivost u kriptografskoj biblioteci wolfSSL koja napadačima omogućuje krivotvorenje certifikata i lažno predstavljanje legitimnih usluga, čime se omogućuju napadi „čovjek u sredini” na šifrirane veze.

Što je Projekt Glasswing?

Projekt Glasswing je Anthropicova inicijativa za istraživanje ranjivosti potpomognuta umjetnom inteligencijom koja koristi model Claude Mythos za duboko tehničko zaključivanje kako bi sustavno analizirala softver na velikoj skali.

Zašto je CVE-2026-5194 posebno zabrinjavajuća za korisnike VPN-a?

Budući da se wolfSSL koristi u nekim VPN implementacijama, ova bi greška napadačima mogla omogućiti presretanje prometa krivotvorenjem certifikata, zbog čega bi VPN tuneli završavali na poslužiteljima pod kontrolom napadača i izložili podatke u čistom tekstu.

Claude Mythos pronalazi CVE-2026-5194 među više od 10.000 grešaka

Anthropicov Projekt Glasswing donio je upečatljiv rezultat: njihov AI model Claude Mythos identificirao je više od 10.000 ranjivosti visoke ili kritične ozbiljnosti u glavnoj softverskoj infrastrukturi u samo jednom mjesecu. Među tim nalazima bio je i CVE-2026-5194, kritična greška u široko korištenoj kriptografskoj biblioteci wolfSSL koja bi napadačima mogla omogućiti krivotvorenje certifikata i lažno predstavljanje legitimnih usluga. Za svakoga tko se oslanja na VPN ili šifriranu aplikaciju, ovo otkriće ilustrira nešto važno: ranjivosti u VPN kriptografiji otkrivene pomoću umjetne inteligencije više nisu samo teoretska briga. Dolaze brže nego što većina ciklusa zakrpa može pratiti.

Što CVE-2026-5194 u wolfSSL-u znači za korisnike VPN-a i šifriranih usluga

wolfSSL je lagana TLS i SSL biblioteka koja se koristi u ugrađenim sustavima, IoT uređajima i, da, u brojnim VPN implementacijama i sigurnosno kritičnim aplikacijama. Njezin mali otisak čini je privlačnom za okruženja s ograničenim resursima, što znači da često radi na mjestima gdje je sigurnosna provjera minimalna, a ciklusi ažuriranja spori.

Greška identificirana kao CVE-2026-5194 posebno je ozbiljna jer cilja na validaciju certifikata, mehanizam koji potvrđuje da je poslužitelj onaj za kojeg se predstavlja. Kada se taj proces može zaobići, napadač može izvesti napad „čovjek u sredini”: presretanje šifriranog prometa predstavljanjem krivotvorenog certifikata koji klijent prihvaća kao legitiman. Za korisnike VPN-a to nije mala neugodnost. Ugroženi lanac certifikata znači da bi vaš šifrirani tunel mogao završavati na poslužitelju pod kontrolom napadača umjesto na vašem željenom odredištu, pri čemu bi sve što šaljete bilo vidljivo u čistom tekstu na drugoj strani.

Ozbiljnost ovdje dodatno povećava priroda implementacije wolfSSL-a. Biblioteke ugrađene u firmware ili naslijeđene mrežne uređaje rijetko dobivaju jednaku pažnju kao softver za krajnje korisnike. Zakrpe možda budu objavljene, ali mogu proći mjeseci ili godine prije nego stignu do uređaja na terenu.

Kako je Claude Mythos pronašao više od 10.000 kritičnih grešaka u jednom mjesecu

Projekt Glasswing predstavlja Anthropicov prodor u istraživanje ranjivosti potpomognuto umjetnom inteligencijom. Model Claude Mythos, dizajniran za duboko tehničko zaključivanje, korišten je za sustavnu analizu softverske infrastrukture u opsegu i brzinom s kojom se nijedan ljudski tim ne može mjeriti. Rezultat, više od 10.000 ranjivosti visoke ili kritične ozbiljnosti u 30 dana, nije samo velik broj. To signalizira temeljni pomak u tome koliko brzo se može mapirati napadna površina internetske infrastrukture.

Tradicionalno otkrivanje ranjivosti oslanja se na ručni pregled koda, alate za fuzzing i sigurnosne istraživače koji prolaze kroz baze koda jednu po jednu komponentu. Analiza potpomognuta umjetnom inteligencijom može istovremeno raditi na više baza koda, identificirati suptilne logičke pogreške koje automatizirani skeneri propuštaju i povezivati nalaze preko međuovisnosti. Otkriće wolfSSL-a dobar je primjer: greške u validaciji certifikata često zahtijevaju razumijevanje složenih lanaca logike u više funkcija, upravo vrsta zaključivanja gdje veliki jezični modeli s mogućnostima razumijevanja koda mogu dodati vrijednost.

Implikacije su dvostrane. Ako Anthropicov model može pronaći ove ranjivosti, mogu ih pronaći i AI alati kojima upravljaju zlonamjerni akteri. Utrka između branitelja i napadača upravo je dobila brži tempo. Vrijedi napomenuti da je sam Anthropic pooštrio kontrolu pristupa na svojoj AI platformi; tvrtka je nedavno uvela zahtjeve za provjeru identiteta za određene korisnike Claudea, što odražava širu napetost između otvorenosti i sigurnosti u implementaciji umjetne inteligencije, kao što je pokriveno u Anthropicovo uvođenje provjere identiteta pravim imenom za korisnike Claudea.

Zašto sigurnost VPN-a ovisi o kriptografskim bibliotekama bez ranjivosti

VPN-ovi se često opisuju kao alat za privatnost i sigurnost, ali njihovo stvarno sigurnosno jamstvo jednako je snažno kao i kriptografske biblioteke na kojima se temelje. VPN klijent može implementirati savršenu tajnost unaprijed, koristiti AES-256 enkripciju i provoditi politiku bez zapisivanja, ali ako TLS biblioteka koja upravlja njegovom validacijom certifikata sadrži grešku koja omogućuje krivotvorenje, sve je to potkopano u fazi rukovanja.

To je problem ovisnosti u softverskoj sigurnosti. Nijedna aplikacija nije otok. Svaki VPN klijent, svaka šifrirana aplikacija za razmjenu poruka, svaki poslužitelj s podrškom za HTTPS oslanja se na biblioteke trećih strana za kriptografske operacije. wolfSSL, OpenSSL, BoringSSL, mbedTLS: svaka od njih imala je značajne ranjivosti u svojoj povijesti. Heartbleed, koji je pogodio OpenSSL 2014. godine, još je uvijek najpoznatiji primjer, ali nije bio izolirani incident.

Nalazi Projekta Glasswing sugeriraju da bi količina neotkrivenih ranjivosti koje leže unutar ovih temeljnih biblioteka mogla biti mnogo veća nego što je sigurnosna zajednica dosad pretpostavljala. Deset tisuća kritičnih grešaka u jednom mjesecu pregleda potpomognutog umjetnom inteligencijom ukazuje na zaostatak problema koje ručni procesi pregleda nisu uspjeli uhvatiti.

Što bi korisnici i VPN pružatelji trebali učiniti dok se zakrpe uvode

Za pojedinačne korisnike, najkonkretniji korak je odabir VPN pružatelja koji se javno obvezuje na redovite sigurnosne revizije trećih strana i transparentno navodi koje kriptografske biblioteke njihov softver koristi te koliko brzo primjenjuju zakrpe. Pružatelji koji objavljuju rezultate revizija, održavaju jasnu politiku objavljivanja ranjivosti i komuniciraju o ažuriranjima biblioteka materijalno su u boljoj poziciji od onih koji to ne čine.

Za VPN pružatelje i korporativne sigurnosne timove, trenutni prioriteti su jednostavni: revidirajte popis softverskih komponenti kako biste identificirali sve ovisnosti o wolfSSL-u, pratite objavu CVE-2026-5194 radi dostupnosti zakrpa i prioritetno ih primijenite na svim komponentama okrenutim internetu ili onima koje rukuju certifikatima. Ako vaš proizvod koristi wolfSSL u firmwareu ili ugrađenim komponentama, taj vremenski okvir ažuriranja treba ubrzati.

U širem smislu, nalazi Claude Mythosa signal su da će otkrivanje ranjivosti potpomognuto umjetnom inteligencijom postati standardni dio alata za sigurnosna istraživanja. Pružatelji koji već ne koriste automatiziranu analizu za pregled vlastitih baza koda i ovisnosti zaostat će i za braniteljima koji koriste takve alate i, što je ključno, za napadačima koji ne čekaju.

Što to znači za vas

Otkriće CVE-2026-5194 konkretan je podsjetnik da su alati za privatnost izgrađeni na slojevima softvera, a najslabiji sloj određuje vašu stvarnu sigurnost. Ranjivost koja omogućuje krivotvorenje certifikata u kriptografskoj biblioteci nije apstraktna prijetnja: to je vrsta greške koja omogućuje nadzor i krađu vjerodajnica od korisnika koji vjeruju da su zaštićeni.

Praktična pouka je sljedeća: pitajte svog VPN pružatelja koje biblioteke koristi, kada su posljednji put proveli sigurnosnu reviziju treće strane i kako rješavaju kritična ažuriranja biblioteka. Transparentnost po ovim pitanjima jedan je od najpouzdanijih signala stvarnog sigurnosnog stanja pružatelja. Kako AI alati ubrzavaju i otkrivanje i iskorištavanje ranjivosti, ta transparentnost postaje važnija nego ikad.