Den 7. april 2026 annoncerede AI-firmaet Anthropic noget ret usædvanligt. De havde bygget deres mest kraftfulde AI-model nogensinde – og samtidig besluttet, at de ikke ville frigive den. Den var for farlig.
Modellen hedder Claude Mythos. Siden annonceringen har den splittet AI- og cybersikkerhedsbranchen i to lejre. Nogle taler om et gennembrud i cybersikkerhed. Andre kalder det fear-based marketing.
Foretrækker du at lytte fremfor at læse?
Artiklen findes som podcast på perspektivet.dk
Baggrunden
TV2 dækkede sagen d. 8. april under overskriften “Ny AI-model er så kraftfuld, at firmaet bag ikke tør slippe den løs.” Også DR og Version2 har dækket historien.
Anthropic siger selv, at Mythos er ekstremt god til at finde sikkerhedshuller i software.
Så i stedet for at frigive modellen, lavede Anthropic et slags samarbejde kaldet Project Glasswing. Det er en alliance med 12 store amerikanske tech-virksomheder, blandt andre Amazon, Apple, Google, Microsoft, Nvidia, JPMorgan Chase, samt cybersikkerhedsfirmaer som CrowdStrike og Palo Alto Networks – plus knap 50 yderligere organisationer.
Idéen er at give de gode adgang først, så de kan finde og lukke sikkerhedshuller i deres egne systemer, inden modellen ender hos cyberkriminelle.
Hvad kan modellen konkret?
Anthropic oplyser, at Mythos har fundet tusindvis af såkaldte zero-day-sårbarheder. Det er sikkerhedsfejl, ingen vidste fandtes, og som derfor ikke er lukket – de farligste af slagsen.
Konkrete eksempler inkluderer en fejl i operativsystemet OpenBSD, som havde været der i 27 år, samt en fejl i FFmpeg (software der håndterer video) som havde ligget der i 16 år. I Linux-kernen, der driver det meste af verdens servere, kunne Mythos finde og kæde flere sårbarheder sammen.
Det største enkeltstående eksempel kom den 21. april, hvor Mozilla, der står bag webbrowseren Firefox, frigav version 150 med fixes af hele 271 sårbarheder fundet af Mythos.
Anders Bæk, forfatter til bogen AI-Epoken, siger til TV2, at Mythos tager et kvantespring i forhold til andre lignende modeller. Han fremhæver, at det er første gang, et AI-firma offentligt erklærer, at de har udviklet noget så stort, at de er bekymrede for misbrug.
Den voksende skepsis
En stærk modfortælling er dog vokset frem i dansk og international presse de seneste uger.
Mozilla-tallene fortjener et nærmere kig. De 271 sårbarheder lyder vildt, men kun tre af dem fik officielle CVE-numre – de internationalt anerkendte sårbarhedsbetegnelser. De resterende 268 fejl var faktisk mindre kritiske. Mozilla skriver også selv, at ingen af de fundne fejl var noget, en dygtig menneskelig sikkerhedsforsker ikke også kunne have fundet. Mythos er hurtigere – ikke fundamentalt smartere.
Den danske it-sikkerhedsekspert Peter Kruse, ejer af CSIS Group, har givet et interview til Børsen. Han er skeptisk over for Anthropics udmelding og siger, at man ikke kan konkludere noget ud fra virksomhedens tal, fordi de relevante nøgletal ikke deles. Han anerkender dog, at AI vil ændre cybersikkerheden over de næste fem år.
Også DR har sat spørgsmålstegn ved historien. Techjournalist Therese Moreau har talt om sagen i DR’s podcast Tiden. Hun pointerer, at man skal skelne mellem, hvad selskaberne siger deres modeller kan, og hvad de egentlig kan – for tredjeparter har ikke fået adgang til at evaluere modellen. Hun peger også på, at Anthropic-stifteren Dario Amodei tidligere, da han var hos OpenAI, var inde over en lignende beslutning om at tilbageholde en model.
På Version2, Ingeniørens netmedie, har en kritisk klummekommentar med titlen “Mythos, Altman og kunsten at blænde AI-kritikere og det digitale hypekor” beskrevet et særligt mønster: ny model kan udgøre trussel mod menneskeheden, efterfulgt af moderat skuffelse.
Marcus Hutchins, britisk cybersikkerhedsekspert kendt for at stoppe WannaCry-angrebet i 2017, har på sin YouTube-kanal kommenteret, at problemet med at finde sikkerhedsfejl ikke er, at der mangler dygtige folk – problemet er, at det koster penge.
Og så er der detaljen, der virkelig undergraver Anthropics historie: samme dag, som Project Glasswing blev annonceret, fik en gruppe uautoriserede brugere adgang til Mythos. De fandt modellen via et tredjepartsleverandørmiljø og delte adgangen i en privat Discord-kanal. Bloomberg rapporterede sagen, og DKCERT skrev om den herhjemme den 23. april.
Selv Sam Altman fra OpenAI, som først kaldte Anthropics tilgang for fear-based marketing, har siden frigivet sin egen begrænsede cybersikkerhedsmodel, GPT-5.5 Cyber.
Det politiske rod
I marts brød Anthropic med Pentagon, fordi de ikke ville acceptere ubegrænset militær brug af Claude. Pentagon stemplede dem som supply chain risk – en betegnelse, der ellers kun bruges om udenlandske fjender.
Men da Mythos kom frem, opdagede den amerikanske regering, at de gerne ville have adgang. NSA, der ligger under Pentagon, bruger nu Mythos. Anthropics CEO Dario Amodei har holdt møde med Trumps stabschef i Det Hvide Hus. Pentagons teknologichef sagde i starten af maj, at Anthropic stadig er supply chain risk, men at Mythos er et separat anliggende.
Den danske vinkel
Jan Damsgaard, professor ved CBS, sagde til TV2, at hvis Europa ikke har adgang til denne type værktøjer, men hackere får det, så vil de kunne angribe danske kritiske systemer som for eksempel MitID.
Peter Kruse giver et mere konkret råd til danske virksomheder i sit Børsen-interview. Han mener, det er fint at være interesseret i Mythos. Men før danske virksomheder begynder at jagte nye AI-værktøjer, bør de starte med basics. Hans anbefaling er at tjekke, om virksomheden lever op til EU’s cybersikkerhedsdirektiv NIS2, der trådte i kraft i 2024 og nu gælder mange danske virksomheder – også underleverandører til kritiske sektorer som finans, sundhed, transport, energi og digital infrastruktur.
Næste fase af EU’s AI-forordning træder i kraft den 2. august 2026. Forordningen kræver automatiserede revisionshistorikker for AI-systemer, cybersikkerhedskrav for højrisiko-AI og bøder på op til 3 % af global omsætning.
Konklusion
Mythos er reel teknologi med reelle evner. Men der er også markedsføring og økonomi i spil. Anthropic er ifølge flere internationale medier i forhandlinger om en investering, der vurderer firmaet til op imod 1.000 milliarder dollar. Hype hjælper.
Pointen er, at AI-firmaer i denne periode vil bruge sikkerhedsbekymringer både ærligt og strategisk. Det betyder ikke, at alle advarsler skal afvises. Men det betyder, at de skal læses kritisk – og at danske virksomheder bør bygge deres AI-strategi på solid grund frem for på frygt eller hype.
