Anthropic's Mythos set off a cybersecurity 'hysteria.' Experts say the threat

Global banks, tech giants and governments were sent scrambling last month to contain the risks posed by Mythos, the Anthropic model said to be so powerful that it has found thousands of previously unknown vulnerabilities in the world's software infrastructure.

There's just one problem: the capability they're worried about is already here.

Cybersecurity experts and artificial intelligence researchers told CNBC that the software vulnerabilities revealed by Mythos can be found using existing models, including those from Anthropic and OpenAI.

"What we are seeing across the industry now is that people are able to reproduce the vulnerabilities found with Mythos through clever orchestration of public models to get very, very similar results," said Ben Harris, CEO of cybersecurity firm watchTowr Labs.

Mythos has jolted executives and policymakers alike over concern that a perilous new era of AI-enabled cybercrime may be near. Anthropic limited its release to a few American companies including Apple, Amazon, JPMorgan Chase and Palo Alto Networks to reduce the risk that bad actors get their hands on it.

Even with that precaution, the release has prompted the Trump administration to consider new government oversight over future models.

It's the latest in a string of high-profile launches from Anthropic that have intensified its rivalry with OpenAI as the two AI giants approach their highly anticipated IPOs. Weeks after the arrival of Mythos, OpenAI CEO Sam Altman announced GPT-5.5-Cyber, a model specifically tailored for cybersecurity.

OpenAI on Thursday allowed limited access to GPT-5.5-Cyber to vetted cybersecurity teams.

The controlled rollout of Mythos, part of a security measure called Project Glasswing, was to give the corporate world time to gird its cyber defenses against a coming onslaught of attacks from criminal groups and adversarial nations.

"The danger is just some enormous increase in the amount of vulnerabilities, in the amount of breaches, in the financial damage that's done from ransomware on schools, hospitals, not to mention banks," Anthropic CEO Dario Amodei said this week at an Anthropic event.

But to those fighting in the trenches of cyber warfare, one of the key capabilities advertised by Anthropic — to find software vulnerabilities at scale — has been around since last year.

"현재 우리가 보유한 모델들은 대규모로 제로데이 (zero day) 를 탐지하는 데 충분히 강력하며, 이는 매우 두려운 수준입니다." 사이버보안 기업 Vidoc 의 CEO 인 Klaudia Kloc 은 CNBC 에 말했습니다.

그는 "수개월이 아니라면 한 년"이라고 말했습니다.

"제로데이 (zero day)"라는 용어는 패치가 적용되지 않은 기존에 알려지지 않은 소프트웨어 결함을 의미하며, 방어자가 대응할 수 있는 틈을 공격자에게 제공하여 이를 악용할 수 있게 합니다.

Vidoc 의 연구원들은 Mythos 가 발견한 동일한 취약점을 찾을 수 있는지 확인하기 위해 "orchestration"이라는 기법을 사용하여 테스트했습니다. 이름처럼 이 과정은 코드를 작은 조각으로 나누어 작업물들을 만들고, 다양한 도구 또는 모델을 조정하여 결과를 교차 검증하는 것을 포함합니다.

"우리는 동일한 코드베이스에 대해 이전 모델들을 실행하여 동일한 취약점을 탐지할 수 있는지 확인했습니다," Kloc 은 말했습니다. "우리는 OpenAI 와 Anthropic 의 이전 모델 모두에서 이를 수행했습니다."

또 다른 사이버보안 기업인 AISLE 는 Mythos 의 주요 결과가 더 저렴한 모델을 병렬로 사용하여 재현할 수 있음을 발견했습니다. 이는 규모와 조정이 최신 모델을 갖는 것보다 더 중요함을 시사합니다.

"천 개의 적절한 탐정들이 모든 곳을 검색하면 한 명의 뛰어난 탐정이 어디를 찾아야 할지 추측해야 하는 것보다 더 많은 버그를 찾을 것입니다," AISLE 의 설립자 Stanislav Fort 는 블로그 포스트에서 썼습니다.

CNBC 에 대한 의견에 따르면, Anthropic 은 이전 모델이 소프트웨어 취약점을 발견할 수 있다는 점에 이의를 제기하지 않았습니다.

사실, 회사 대변인은 Anthropic 은 AI 의 사이버 능력이 빠르게 발전하고 있다는 점을 경고해 왔다고 말했습니다. 그들은 2 월의 블로그 포스트를 지목하여 Claude Opus 4.6 이 널리 이용 가능한 모델로, 오픈소스 소프트웨어에서 500 개 이상의 "고중요도" 취약점을 발견했다고 밝혔습니다.

이번 주 Anthropic 의 행사에서 Amodei 는 Mythos 가 발견한 소프트웨어 취약물의 규모가 이전 모델보다 급격히 증가했지만, 이 경향은 새로운 것이 아님을 확인했습니다.

"위험은 매우 현실적입니다. 이것이 우리가 취한 조치의 이유입니다," Amodei 는 말했습니다. "하지만 그것은 어떤 의미에서는 놀라울 정도로 아닙니다... 우리는 오랫동안 이러한 경고들을 보고해 왔습니다."

Mythos 가 다른 점은 인간 입력이 거의 없거나 전혀 필요하지 않고 작동하는 악용을 개발할 수 있는 능력이며, 이는 이전에 숙련된 연구자가 필요로 했던 프로세스를 효과적으로 자동화한다는 것입니다, Anthropic 의 대변인은 말했습니다.

하지만 범죄 조직과 적대적 국가를 위해 활동하는 해커들은 이미 이러한 기술 집합을 가지고 있다고 사이버 연구자들은 말합니다. Kloc는 북한, 중국, 러시아의 해커들이

Some say it prevented the wider cyber community from being part of the solution.

It has created "tiers of haves and have-nots," which could stunt the pace of cybersecurity innovation, said Pavel Gurvich, CEO of cybersecurity startup Tenzai, which uses Anthropic's models.

Many cybersecurity startups are working on solutions that can help businesses in this new era of AI, he said.

"They're trying to figure out the best way to fix the world before this becomes accessible to the world," said Ben Seri, co-founder of cybersecurity startup Zafran Security. "It's this kind of chicken-and-egg situation, and you're going to break some eggs. It's unavoidable."