W kwietniu 2026 roku Anthropic ogłosiło istnienie Claude Mythos Preview, modelu AI, który w ciągu kilku tygodni znalazł tysiące nieznanych wcześniej luk bezpieczeństwa w każdym głównym systemie operacyjnym i przeglądarce na świecie. Firma odmówiła publicznego udostępnienia modelu, uznając go za zbyt niebezpieczny. Zamiast tego uruchomiła Project Glasswing, inicjatywę, w której wybrane organizacje otrzymują dostęp do Mythos w celach defensywnych.
Czym właściwie jest Mythos?
Czym jest Mythos? To model AI ogólnego przeznaczenia, który okazał się wyjątkowo dobry w znajdowaniu i eksploatowaniu luk. Prawdopodobnie to pochodna jego ogólnych zdolności programistycznych. W istocie jest bardzo dobrym programistą. Nie jest natomiast specjalistycznym narzędziem cybersecurity, ani o charakterze ofensywnym, ani obronnym.
Według wstępnych danych instytucji, które go testowały, model jest zdolny do autonomicznego atakowania małych, słabo chronionych środowisk korporacyjnych, do których uzyskano dostęp sieciowy. Środowiska testowe różnią się jednak od rzeczywistych. Brak w nich aktywnych obrońców, narzędzi detekcji, kar za wywołanie alertów bezpieczeństwa. Brytyjski AISI wprost pisze, że nie może potwierdzić, czy Mythos poradziłby sobie z dobrze bronionym systemem. To ważne zastrzeżenie. Problem w tym, że większość polskich (i europejskich) małych i średnich przedsiębiorstw to dokładnie te słabo bronione środowiska, które w testach Mythos potrafił zaatakować. Dlatego jego upublicznienie tak bardzo zmienia rynek cyberbezpieczeństwa.
Project Glasswing i europejska nieobecność
Listę partnerów projektu Glasswing czyta się jak ranking amerykańskiego Big Tech: Amazon, Apple, Microsoft, Google, NVIDIA. Jest też Linux Foundation i JPMorgan Chase. Brakuje natomiast Unii Europejskiej. Jedyną europejską jednostką, która uzyskała dostęp do Mythos, jest wspomniany wyżej brytyjski AI Security Institute (AISI), prawdopodobnie dlatego, że po Brexicie Wielka Brytania poszła własną drogą regulacyjną. Niemiecka BSI przyznaje, że rozmawia z Anthropic, ale bez dostępu do modelu.
Geopolityka i strategiczne znaczenie AI
Dlaczego Europa została pominięta? Pierwszym powodem jest geopolityka. Z dekretów prezydenckich wydanych w 2025 roku przez Donalda Trumpa wynika, że Stany Zjednoczone traktują zaawansowane AI jako przewagę strategiczną — analogicznie do broni jądrowej w XX wieku. Mythos to nie jest zatem tylko produkt komercyjny. To zdolność, którą USA chce kontrolować.
Regulacje europejskie a dostęp do modeli AI
Drugi powód to regulacja. Unia Europejska stworzyła najbardziej kompleksowe regulacje AI na świecie — AI Act i wykonujące go, właśnie tworzone wytyczne oraz kodeksy. Wspierane przez NIS2, CRA czy RODO. Te same regulacje utrudniają jednak dostęp do najnowszych modeli. Anthropic nie może legalnie udostępnić Mythos w EU bez spełnienia tych wymogów. A spełnienie ich wymaga udostępnienia wielu danych o samym modelu, których dostawca nie chce przekazać naszym regulatorom. Jednocześnie Komisja Europejska chwali Anthropic za odpowiedzialne wstrzymanie publikacji modelu. Bez dostępu do niego nie ma jednak możliwości zweryfikowania, co właściwie chwali i uzasadnienia, dlaczego to dobra decyzja.
Relacje Big Tech i brak wspólnego ekosystemu
Po trzecie Anthropic to firma z San Francisco. Jej naturalni partnerzy to AWS (główny inwestor), Google (również jeden z inwestorów), Microsoft, Apple. Z tymi firmami ma relacje, wspólne interfejsy, zaufanie. Nie ma natomiast doświadczeń w pracy z europejskimi regulatorami. Brak jest i wspólnego języka i nawet wspólnej platformy do bezpiecznej wymiany informacji.
Problem skali i koordynacji europejskiej
Po czwarte — skala. Glasswing to kilkanaście firm i jeden koordynator. W Unii Europejskiej Anthropic musiałby koordynować działania z 27 państwami i kiludziesięcioma ich regulatorami, biorąc pod uwagę wiele regulacji z każdej jurysdykcji.
AI ogólnego przeznaczenia jako narzędzie cyberbezpieczeństwa
Jest też perspektywa, o której mało kto mówi.
Mythos nie jest specjalistycznym narzędziem ofensywnym. To model ogólnego przeznaczenia, który okazał się wyjątkowo dobry w znajdowaniu i eksploatowaniu luk i może to być pochodna ogólnych zdolności programistycznych modelu. W istocie jest po prostu bardzo dobrym programistą.
Jeśli zatem nie mamy własnej infrastruktury i zależymy od współdziałania, albo wręcz dobrej woli dostawców wielkich modeli, co dalej z Unią Europejską?
Czy Europa może zbudować własny odpowiednik Mythos?
Scenariusz budowy własnego modelu klasy Mythos wymaga dziesiątek miliardów euro, lat pracy i talentów, z których większość pracuje w USA. To nierealistyczne.
Bardziej prawdopodobny jest negocjowany dostęp. Komisja Europejska wynegocjuje z Anthropic, OpenAI i Google specjalne warunki takie jak ograniczone audyty, udział europejskich firm w programie typu Glasswing, czy wspólne standardy raportowania. Wymagałoby to jednak zmiany przepisów NIS2 i CRA, które przewidują raportowanie incydentów w dniach, nie w minutach. Jedyną kartą przetargową Europy jest dostęp do rynku 450 milionów konsumentów. Pytanie, czy to wystarczy, gdy stawką jest bezpieczeństwo narodowe USA.
Jeśli nic się nie zmieni, Europa będzie dowiadywać się o lukach po tym, gdy ujawnią to Stany Zjednoczone, łatać systemy z opóźnieniem, polegać na amerykańskich firmach w kwestii własnego bezpieczeństwa i pisać regulacje, których sama nie może wyegzekwować. To nie apokalipsa. Ale to strategiczna słabość w świecie, w którym model AI może w weekend znaleźć lukę, której ludzie szukali 27 lat.
Artykuł pt. „Unia Europejska pominięta w erze AI-cyberbezpieczeństwa. Przypadek Mythos i koniec iluzji cybersuwerenności”, autorstwa Michała Jackowskiego i Piotra Brzyskiego, został opublikowany 7 maja 2026 roku w „Dzienniku Gazecie Prawnej”.
