Claude Mythos finner CVE-2026-5194 blant over 10 000 sårbarheter

Claude Mythos finner CVE-2026-5194 blant over 10 000 sårbarheter

Anthropics Project Glasswing har gitt et oppsiktsvekkende resultat: AI-modellen Claude Mythos identifiserte over 10 000 sårbarheter med høy eller kritisk alvorlighetsgrad i sentral programvareinfrastruktur i løpet av én måned. Blant funnene var CVE-2026-5194, en kritisk svakhet i det mye brukte kryptobiblioteket wolfSSL som kan gjøre det mulig for angripere å forfalske sertifikater og utgi seg for å være legitime tjenester. For alle som bruker VPN eller krypterte applikasjoner, illustrerer denne enkeltoppdagelsen noe viktig: AI-oppdagede VPN-kryptosårbarheter er ikke lenger et teoretisk problem. De dukker opp raskere enn de fleste patchsykluser klarer å følge med.

Hva CVE-2026-5194 i wolfSSL betyr for VPN- og krypterte tjenestebrukere

wolfSSL er et lettvekts TLS- og SSL-bibliotek som brukes i innebygde systemer, IoT-enheter og, ja, en rekke VPN-implementeringer og sikkerhetskritiske applikasjoner. Den lille størrelsen gjør det attraktivt for ressursbegrensede miljøer, noe som ofte betyr at det havner på steder der sikkerhetsgjennomganger er minimale og oppdateringssyklusene trege.

Svakheten identifisert som CVE-2026-5194 er spesielt alvorlig fordi den rammer sertifikatvalidering – mekanismen som bekrefter at en server er den den utgir seg for å være. Når denne prosessen kan undergraves, kan en angriper gjennomføre et man-in-the-middle-angrep: avlytte kryptert trafikk ved å presentere et forfalsket sertifikat som klienten godtar som ekte. For VPN-brukere er dette ikke en liten ulempe. En kompromittert sertifikatkjede betyr at den krypterte tunnelen din kan ende opp hos en angriperstyrt server i stedet for det tiltenkte endepunktet, og alt du sender er synlig i klartekst på den andre siden.

Alvorlighetsgraden forsterkes av hvordan wolfSSL distribueres. Biblioteker som er innebygd i fastvare eller eldre nettverksutstyr får sjelden like mye oppmerksomhet som sluttbrukerprogramvare. Patcher kan bli utgitt, men det kan ta måneder eller år før de når enheter i felt.

Hvordan Claude Mythos fant over 10 000 kritiske svakheter på én måned

Project Glasswing representerer Anthropics satsing på AI-assistert sårbarhetsforskning. Modellen Claude Mythos, designet for dyp teknisk resonnering, ble brukt til systematisk å analysere programvareinfrastruktur i et omfang og tempo som ingen menneskelig gruppe kunne matche. Resultatet, over 10 000 sårbarheter med høy eller kritisk alvorlighetsgrad på 30 dager, er ikke bare et stort tall. Det signaliserer et grunnleggende skifte i hvor raskt angrepsflaten til internettinfrastrukturen kan kartlegges.

Tradisjonell sårbarhetsoppdagelse baserer seg på manuell kodegjennomgang, fuzzing-verktøy og sikkerhetsforskere som jobber seg gjennom kodebaser én komponent om gangen. AI-assistert analyse kan jobbe på tvers av flere kodebaser samtidig, identifisere subtile logiske feil som automatiserte skannere overser, og korrelere funn på tvers av avhengigheter. wolfSSL-oppdagelsen er et godt eksempel: feil i sertifikatvalidering krever ofte forståelse av komplekse logiske kjeder på tvers av flere funksjoner, akkurat den typen resonnering der store språkmodeller med kodeforståelse kan tilføre verdi.

Implikasjonene går begge veier. Hvis Anthropics modell kan finne disse sårbarhetene, kan AI-verktøy som drives av trusselaktører gjøre det samme. Kappløpet mellom forsvarere og angripere har nettopp fått en høyere klokkefrekvens. Det er verdt å merke seg at Anthropic selv har strammet inn tilgangskontrollen på sin AI-plattform; selskapet introduserte nylig identitetsbekreftelse for enkelte Claude-brukere, noe som gjenspeiler den bredere spenningen mellom åpenhet og sikkerhet ved AI-utrulling, slik det ble omtalt i Anthropics utrulling av ekte navn-ID-verifisering for Claude-brukere.

Hvorfor VPN-sikkerhet avhenger av sårbarhetsfrie kryptobiblioteker

VPN-er beskrives ofte som et personvern- og sikkerhetsverktøy, men den faktiske sikkerhetsgarantien er bare så sterk som de underliggende kryptobibliotekene. En VPN-klient kan implementere perfekt foroverhemmelighold, bruke AES-256-kryptering og ha en nullogg-policy, men hvis TLS-biblioteket som håndterer sertifikatvalideringen inneholder en svakhet som tillater forfalskning, undergraves alt dette allerede under håndtrykket.

Dette er avhengighetsproblemet i programvaresikkerhet. Ingen applikasjon er en isolert øy. Hver VPN-klient, hver kryptert meldingsapp, hver HTTPS-aktivert server er avhengig av tredjepartsbiblioteker for kryptografiske operasjoner. wolfSSL, OpenSSL, BoringSSL, mbedTLS: alle disse har hatt betydelige sårbarheter i historien. Heartbleed, som rammet OpenSSL i 2014, er fortsatt det mest kjente eksempelet, men det var ikke en enkeltstående hendelse.

Funnene fra Project Glasswing tyder på at mengden uoppdagede sårbarheter som ligger i disse grunnleggende bibliotekene, kan være mye større enn sikkerhetsmiljøet tidligere har antatt. Titusen kritiske svakheter på én måned med AI-assistert gjennomgang peker mot en opphopning av problemer som manuelle gjennomganger ikke har fanget opp.

Hva brukere og VPN-leverandører bør gjøre mens patcher rulles ut

For individuelle brukere er det mest praktiske steget å velge en VPN-leverandør som offentlig forplikter seg til regelmessige tredjeparts sikkerhetsrevisjoner og er åpen om hvilke kryptobiblioteker programvaren deres bruker, og hvor raskt de tar i bruk patcher. Leverandører som publiserer revisjonsresultater, har en tydelig retningslinje for sårbarhetsvarsling og kommuniserer om biblioteksoppdateringer, er vesentlig bedre posisjonert enn de som ikke gjør det.

For VPN-leverandører og sikkerhetsteam i bedrifter er de umiddelbare prioriteringene enkle: revider programvarens stykkliste for å identifisere eventuelle wolfSSL-avhengigheter, overvåk offentliggjøringen av CVE-2026-5194 for tilgjengelige patcher, og prioriter utrulling på alle internettvendte eller sertifikathåndterende komponenter. Hvis produktet ditt bruker wolfSSL i fastvare eller innebygde komponenter, må tidsplanen for oppdateringen framskyndes.

Mer bredt er Claude Mythos-funnene et signal om at AI-assistert sårbarhetsoppdagelse vil bli en standard del av verktøykassen for sikkerhetsforskning. Leverandører som ikke allerede bruker automatisert analyse for å gjennomgå sine egne kodebaser og avhengigheter, vil sakke akterut både i forhold til forsvarere som bruker disse verktøyene, og – kritisk nok – angripere som ikke venter.

Hva dette betyr for deg

Oppdagelsen av CVE-2026-5194 er en konkret påminnelse om at personvernverktøy er bygget på lag av programvare, og det svakeste laget bestemmer den faktiske sikkerheten din. En svakhet som tillater sertifikatforfalskning i et kryptobibliotek er ikke en abstrakt trussel: det er nettopp den typen svakhet som muliggjør overvåkning og stjeling av innloggingsdetaljer fra brukere som tror de er beskyttet.

Den praktiske lærdommen er denne: spør VPN-leverandøren din hvilke biblioteker de bruker, når de sist fullførte en tredjeparts sikkerhetsrevisjon, og hvordan de håndterer kritiske biblioteksoppdateringer. Åpenhet rundt disse spørsmålene er et av de mest pålitelige signalene på en leverandørs faktiske sikkerhetsnivå. Etter hvert som AI-verktøy akselererer både oppdagelsen og utnyttelsen av sårbarheter, blir denne åpenheten viktigere enn noen gang.