Podsumowanie
Zgodnie z naszą wiedzą, żadna instytucja Unii Europejskiej nie posiada obecnie operacyjnego dostępu przez Project Glasswing do najbardziej zaawansowanego modelu AI w zakresie cyberbezpieczeństwa - podczas gdy Bank Anglii, Rezerwa Federalna i Skarb USA zostały zaznajomione z tym modelem. Anthropic ogłosiło 7 kwietnia 2026 roku Claude Mythos Preview, pierwszy model frontier wybrany ze względu na powody cyberbezpieczeństwa, zamiast być publicznie udostępnionym. Model autonomicznie odkrywa i wykorzystuje luki zero-day: na benchmarku ExploitBench (Carnegie Mellon/Bugcrowd, maj 2026) osiągnął wykonanie dowolnego kodu na 21 z 41 testowanych CVE, podczas gdy żaden inny model publiczny nie zdołał ukończyć nawet jednego. Dostęp jest ograniczony do Project Glasswing, koalicji około 40 organizacji kierowanej przez dwunastu amerykańskich założycieli - AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks, Broadcom, Linux Foundation i Anthropic. Żadna europejska instytucja nie ma dostępu do tej samej daty, gdy Europejski Bank Centralny ograniczył się do zwołania banków strefy w celu zwiększenia świadomości na temat ryzyk, bez równoważnego briefingu. Jak donosiły Les Echos 27 maja 2026, ekskluzywne badanie firmy Sia Partners wskazuje na ofensywną przewagę 100 do 1 - liczba warunkowa w scenariuszu złośliwego rozpowszechniania modelu, do którego ten artykuł się odnosi.
Singularność techniczna mierzalna, ale kosztowna
Osiągi Mythos są widoczne przede wszystkim w niezależnych benchmarkach. Na ExploitBench pełny przebieg testów kosztował około 36 428 dolarów w porównaniu do 3 075 dolarów dla GPT-5.5 przez Codex, co daje stosunek około 12 razy. Koszt brutto stawia Mythos poza zasięgiem oportunistycznego aktora, ale różnica w możliwościach jest udokumentowana: spośród ośmiu publicznie wdrożonych modeli, tylko GPT-5.5 przeszedł sandbox bezpieczeństwa i osiągnął przejęcie kontroli przepływu na jednym błędzie WebAssembly. W instytucjonalnym red-teaming, brytyjski AI Security Institute obserwuje ciągłą akcelerację: agencja szacowała w listopadzie 2025 podwojenie zdolności cyber co osiem miesięcy, zrewidowane do 4,7 miesiąca w lutym 2026, a Mythos i GPT-5.5 obecnie przekraczają tę przyspieszoną trajektorię. Mythos jest pierwszym modelem, który ukończył oba cyber ranges AISI: sześć sukcesów na dziesięć prób w symulacji ataku 32-etapowego na sieci przedsiębiorstw, którą ekspert ludzki rozwiązałby w około dwadzieścia godzin, oraz trzy na dziesięć w symulacji przemysłowej „Cooling Tower”. Do tych danych Anthropic dodaje autonomiczne odkrycie tysięcy zero-day w głównych systemach operacyjnych i przeglądarkach, z czego ponad 99% nie zostało załatanych w momencie publikacji - wewnętrzne dane zapisane w system card liczącej 244 strony, której dokładny zakres pozostaje niesprawdzalny przez europejski podmiot.
Już wąska przepaść: open-weight wypełnia jej dużą część
Singularność Mythos ukrywa równoległy ruch, który relatywizuje jego strategiczny zasięg. Artykuł na arXiv opublikowany w maju 2026 pokazuje, że Qwen3.6-27B osiąga 33% sukcesu w autonomicznej auto-replikacji na jednej karcie A100, na równi z aktualną generacją GPT-5.4 i wyżej niż frontier poprzedniej generacji, gdzie Opus 4 osiągał 6%, a GPT-5 0%. Model działa na A100 za 1 do 2 dolarów za godzinę przez dostawców chmurowych i mieści się w limicie 40 miliardów parametrów, który instytut Epoch AI ustala dla ery RTX 5090 - więc w zasięgu sprzętu konsumenckiego. Echo potwierdza strona CISO: według analizy szwajcarskiej firmy InfoGuard, bazującej na pracach specjalistycznej organizacji AISLE, osiem testowanych modeli open-weight reprodukuje wyczyn FreeBSD przedstawiony jako dowód na wyższość Mythos, z czego jeden ma 3,6 miliarda aktywnych parametrów za około 0,11 dolara za milion tokenów. Resztkowa różnica w zdolnościach skupia się wtedy na wąskim zakresie: wykonanie dowolnego kodu na rzeczywistych wymagających CVE. To różnica, na której opiera się przewaga 100 do 1 wskazana przez Sia Partners i ujawniona przez Les Echos - liczba, która wyraźnie opiera się na scenariuszu Mythos „przekazanego w ręce złośliwe” z niemal nieobecną obroną z drugiej strony, którą brytyjski AISI sam opisuje jako „atakującego naprzeciwko najgorszego bramkarza na świecie” (wolne tłumaczenie). Sia Partners sprzedaje ponadto playbook RSSI/DSI mapujący zagrożenia cybernetyczne AI według dziewięciu osi operacyjnych opartych na tym samym założeniu, co stanowi konflikt interesów, którego artykuł Les Echos nie wspomina.
Glasswing: amerykański obszar, asymetryczne alerty
Poza dwunastoma wcześniej wymienionymi założycielami, koalicja według InfoGuard agreguje wybrane firmy takie jak JPMorgan Chase, Goldman Sachs oraz niektórych dostawców chmury i systemów operacyjnych, do użytku defensywnego. Reszta gospodarki nie ma do tego dostępu. Sekwencja alertów odzwierciedla ten zakres: Anthropic poinformował Rezerwę Federalną, Skarb USA, Agencję Cyberbezpieczeństwa i Infrastruktury oraz Bank Anglii, a sekretarz skarbu Scott Bessent i prezes Fed Jerome Powell odbyli pilne spotkanie z prezesami dużych banków, aby wskazać na specyficzne zagrożenie związane z modelem. Po stronie strefy euro, Europejski Bank Centralny zwołał banki strefy, aby zwiększyć ich świadomość ryzyk, bez równoważnego briefingu jak ten, który Anthropic skierował do Banku Anglii. Podczas konferencji prasowej 28 kwietnia 2026 rzecznik Komisji Thomas Regnier potwierdził, że instytucja europejska nadal nie ma dostępu do Project Glasswing, stwierdzając, że „pozostają do rozwiązania kwestie cyberbezpieczeństwa” i że firma „dialoguje w dobrej wierze”, bez zobowiązania się do harmonogramu. Na dzień 29 maja 2026 ani ANSSI, ani ENISA nie opublikowały oficjalnego stanowiska na temat Mythos ani procedury oceny, która mogłaby odblokować ten dostęp - dokumentowalna cisza, która kontrastuje z amerykańską i brytyjską mobilizacją instytucjonalną.
„100 do 1” opiera się na dwóch łącznych warunkach
Asymetria wyrażona przez Sia Partners jest warunkowa: zakłada jednocześnie, że złośliwy aktor uzyska dostęp do Mythos - obecnie ograniczony do około czterdziestu organizacji w ramach Project Glasswing - i że obrona pozostanie niemal nieobecna. Brytyjski AISI, który zatwierdził 73% wskaźnik sukcesu w zadaniach hakowania eksperckiego, sam precyzuje, że Mythos został oceniony „przeciwko niemal nieistniejącym obronom” - jeden z oceniających mówi o „atakującym naprzeciwko najgorszego bramkarza na świecie”. W prawidłowo zabezpieczonym środowisku produkcyjnym obraz jest inny. Ponadto Sia Partners sprzedaje playbook RSSI/DSI oparty na tym samym założeniu, co stanowi bezpośredni interes, który należy uwzględnić jako krytyczny element interpretacji.
Instytucjonalna przepaść: przedwdrożenie kontra obowiązek prawny
Przepaść w dostępie do Mythos przedłuża głębszą instytucjonalną przepaść, widoczną w samej gramatyce kontroli modeli frontier. Brytyjski AI Security Institute praktykuje red-teaming przedwdrożeniowy, z około 250 osobami i formalnymi partnerstwami z Anthropic, Google DeepMind i OpenAI w celu bezpośredniej oceny migawkowych modeli przed szerszym rozpowszechnieniem. Jego dyrektor techniczna Jade Leung, doradca AI brytyjskiego premiera, stwierdza w ResultSense 22 kwietnia 2026, że „znaleziono luki w każdym testowanym systemie” (wolne tłumaczenie), w tym w Mythos. Unia Europejska zajmuje drugie ekstremum spektrum: według tej samej publikacji, „preferowała obowiązki prawne dla deweloperów zamiast wewnętrznej zdolności do red-teamingu” (wolne tłumaczenie) poprzez AI Act i DORA dla sektora finansowego. Francja postawiła pierwszy kamień milowy w zakresie suwerenności ewaluacyjnej, uruchamiając INESIA w 2025 roku, bez porównywalnego zakresu jak AISI. To nierównowaga skłoniła eurodeputowanych z różnych stron do napisania do Henna Virkkunen, wiceprezes Komisji, w celu zażądania europejskiego uczestnictwa w Project Glasswing i przyspieszenia architektur zero zaufania. List, datowany na 27 kwietnia 2026 roku, przeciwstawia europejską ramę prawną wymogowi infrastruktury operacyjnej - wymóg, który napotyka na podstawę zasobów sektorowych. Według ENISA, niedobór specjalistów ds. cyberbezpieczeństwa wynosił 299 000 miejsc pracy w UE w 2024 roku, co stanowi wzrost o 9% w porównaniu do 2023 roku, a średni budżet na cyberbezpieczeństwo w zakresie NIS wynosi 1,5 miliona euro - co, według naszego obliczenia na podstawie tego budżetu i kosztu przebiegu ExploitBench opublikowanego przez Carnegie Mellon/Bugcrowd, odpowiada około czterdziestu przebiegom ExploitBench na Mythos.