Sumar
Conform cunoștințelor noastre, nicio instituție a Uniunii Europene nu dispune în prezent de un acces operațional prin Project Glasswing, la cel mai avansat model de IA în securitate cibernetică - în timp ce Banca Angliei, Rezerva Federală și Trezoreria americană au fost informate. Anthropic a anunțat pe 7 aprilie 2026 Claude Mythos Preview, primul model frontier reținut explicit din motive de securitate cibernetică, mai degrabă decât difuzat public. Modelul descoperă și exploatează în mod autonom vulnerabilități zero-day: pe benchmark-ul ExploitBench (Carnegie Mellon/Bugcrowd, mai 2026), atinge executarea de cod arbitrar pe 21 din cele 41 CVE-uri testate, în timp ce niciun alt model public nu reușește măcar unul. Accesul este restricționat la Project Glasswing, o coaliție de aproximativ 40 de organizații conduse de doisprezece fondatori americani - AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks, Broadcom, Fundația Linux și Anthropic. Nicio instituție europeană nu are acces la aceeași dată, în timp ce Banca Centrală Europeană s-a limitat la convocarea băncilor din zonă pentru a le sensibiliza cu privire la riscuri, fără un briefing echivalent. Așa cum a raportat Les Echos pe 27 mai 2026, un studiu exclusiv al cabinetului Sia Partners avansează un avantaj ofensiv de 100 la 1 - cifră condiționată de un scenariu de difuzare malițioasă a modelului, asupra căruia acest articol revine.
O singularitate tehnică măsurabilă, dar costisitoare
Diferența de capacitate a Mythos se citește mai întâi în benchmark-urile independente. Pe ExploitBench, rularea completă a testelor a costat aproximativ 36.428 dolari comparativ cu 3.075 dolari pentru GPT-5.5 prin Codex, adică un raport de aproximativ 12 ori. Costul brut plasează Mythos în afara atingerii unui actor oportunist, dar diferența de capacitate rămâne documentată: dintre cele opt modele implementate public, doar GPT-5.5 a trecut de sandbox-ul de securitate și a atins deturnarea fluxului de control, pe un singur bug WebAssembly. Din perspectiva red-teaming-ului instituțional, AI Security Institute din Marea Britanie observă o accelerare continuă: agenția estima în noiembrie 2025 o dublare a capacităților cibernetice la fiecare opt luni, revizuită la 4,7 luni în februarie 2026, iar Mythos și GPT-5.5 depășesc acum această traiectorie accelerată. Mythos este primul model care completează cele două range-uri cibernetice ale AISI: șase succese din zece încercări la simularea unui atac în 32 de pași pe rețea de întreprindere, pe care un expert uman ar rezolva-o în aproximativ douăzeci de ore, și trei din zece pe simularea industrială „Cooling Tower”. La aceste cifre, Anthropic adaugă descoperirea autonomă a mii de zero-days în principalele sisteme de operare și browsere, dintre care peste 99% nepatch-ate la publicare - cifre interne consemnate într-o system card de 244 de pagini, al cărui perimetru exact rămâne neauditabil de un terț european.
O fractură deja îngustă: open-weight completează o mare parte din diferență
Singularitatea Mythos maschează o mișcare paralelă care îi relativizează importanța strategică. Un articol arXiv publicat în mai 2026 arată că Qwen3.6-27B atinge 33% succes în auto-replicare autonomă pe o singură placă A100, la paritate cu generația actuală GPT-5.4 și peste frontier-ul generației anterioare, unde Opus 4 se plafona la 6% și GPT-5 la 0%. Modelul operează pe o A100 la 1 până la 2 dolari pe oră prin furnizorii de cloud și se încadrează în pragul de 40 miliarde de parametri pe care institutul Epoch AI îl stabilește pentru era RTX 5090 - deci la îndemâna hardware-ului de consum. Ecoul este confirmat din partea CISO: conform unei analize a cabinetului elvețian InfoGuard preluând lucrările organizației specializate AISLE, cele opt modele open-weight testate reproduc exploit-ul FreeBSD prezentat ca dovadă a superiorității Mythos, unul dintre ele având 3,6 miliarde de parametri activi pentru aproximativ 0,11 dolari per milion de tokens. Fractura capacitară reziduală se concentrează atunci pe un perimetru îngust: executarea de cod arbitrar pe CVE-uri reale exigente. Pe acest diferențial se construiește avantajul 100 la 1 avansat de Sia Partners și dezvăluit de Les Echos - cifră care se bazează explicit pe scenariul unui Mythos „pus în mâini malițioase” cu o apărare aproape absentă în față, și pe care AISI britanică însăși o descrie ca „un atacant în fața celui mai prost portar din lume” (traducere liberă). Sia Partners comercializează de altfel un playbook RSSI/DSI care cartografiază amenințările cibernetice IA conform celor nouă axe operaționale bazate pe aceeași constatare, conflict de interese pe care articolul din Echos nu îl menționează.
Glasswing: perimetru american, alerte asimetrice
Dincolo de cei doisprezece fondatori deja numiți, coaliția agregează, conform InfoGuard, companii selectate precum JPMorgan Chase, Goldman Sachs și anumiți editori cloud și OS, pentru utilizare defensivă. Restul economiei nu are acces. Secvența de alertă reflectă acest perimetru: Anthropic a informat Rezerva Federală, Trezoreria americană, Cybersecurity and Infrastructure Security Agency și Banca Angliei, iar secretarul Trezoreriei Scott Bessent și președintele Fed Jerome Powell au ținut o reuniune de urgență cu CEO-ii marilor bănci pentru a indica amenințarea specifică a modelului. Din partea zonei euro, Banca Centrală Europeană a convocat băncile din zonă pentru a le sensibiliza cu privire la riscuri, fără un briefing echivalent celui adresat de Anthropic Băncii Angliei. În cadrul unei conferințe de presă pe 28 aprilie 2026, purtătorul de cuvânt al Comisiei Thomas Regnier a confirmat că instituția europeană nu are încă acces la Project Glasswing, declarând că „preocupările de securitate cibernetică rămân de tratat” și că compania „dialoghează cu bună credință”, fără a se angaja pe un calendar. La data de 29 mai 2026, nici ANSSI, nici ENISA nu au publicat o poziție oficială despre Mythos sau despre procedura de evaluare susceptibilă de a debloca acest acces - un tăcere documentabilă, care contrastează cu mobilizarea instituțională americană și britanică.
„100 la 1” se bazează pe două condiții cumulative
Asimetria cifrată de Sia Partners este condiționată: ea presupune atât ca un actor malițios să obțină acces la Mythos - astăzi limitat la aproximativ patruzeci de organizații sub Project Glasswing - cât și ca apărarea să rămână aproape absentă. AISI britanică, care a validat un procent de reușită de 73% pe sarcini de hacking expert, precizează ea însăși că Mythos a fost evaluat „în fața unor apărări aproape inexistente” - un evaluator vorbește despre „un atacant în fața celui mai prost portar din lume”. Într-un mediu de producție corect întărit, tabloul este diferit. De altfel, Sia Partners comercializează un playbook RSSI/DSI bazat pe aceeași constatare, ceea ce constituie un interes direct de reținut ca element de lectură critică.
O fractură instituțională: pre-deployment versus obligație legală
Diferența de acces la Mythos prelungeste o fractură instituțională mai profundă, vizibilă în însuși limbajul controlului modelelor frontier. AI Security Institute din Marea Britanie practică red-teaming-ul pre-deployment, cu aproximativ 250 de persoane și parteneriate formale cu Anthropic, Google DeepMind și OpenAI pentru a evalua direct instantaneele modelelor înainte de o difuzare mai largă. Directorul său tehnic Jade Leung, de asemenea consilier IA al prim-ministrului britanic, afirmă în ResultSense pe 22 aprilie 2026 că a găsit „vulnerabilități în fiecare sistem testat” (traducere liberă), inclusiv Mythos. Uniunea Europeană ține cealaltă extremitate a spectrului: conform aceleiași surse, ea „a privilegiat obligațiile legale pentru dezvoltatori mai degrabă decât o capacitate internă de red-teaming” (traducere liberă), prin AI Act și DORA pentru sectorul financiar. Franța a pus un prim jalon de suveranitate evaluativă cu lansarea INESIA în 2025, fără un perimetru comparabil cu cel al AISI. Acest dezechilibru a determinat eurodeputați din toate taberele să îi scrie lui Henna Virkkunen, vicepreședinte executiv al Comisiei, pentru a cere participarea europeană la Project Glasswing și accelerarea arhitecturilor zero trust. Scrisoarea, datată 27 aprilie 2026, opune cadrului juridic european o cerință de infrastructură operațională - cerință care se lovește de baza resurselor sectoriale. Conform ENISA, deficitul de specialiști în securitate cibernetică atinge 299.000 de posturi în UE în 2024, adică o creștere de 9% față de 2023, iar bugetul mediu de securitate cibernetică pe perimetrul NIS se ridică la 1,5 milioane de euro - adică, conform calculului nostru bazat pe acest buget și pe costul rulării ExploitBench publicat de Carnegie Mellon/Bugcrowd, echivalentul a aproximativ patruzeci de rulări ExploitBench pe Mythos.