STEKO
Hvorfor Mythos ændrer autentificeringsligningen
Anthropics Mythos AI-model afslørede tusindvis af softwaresårbarheder. Derefter fik uautoriserede brugere adgang til Mythos selv – gennem en tredjepartsleverandør. Her er, hvad begge begivenheder betyder for, hvordan organisationer beskytter adgang.
I april 2026 gjorde Anthropics Mythos AI-model noget, som sikkerhedsbranchen længe havde frygtet: den demonstrerede, at AI kan opdage softwaresårbarheder i en skala og hastighed, som intet menneskeligt team kan matche. Tusindvis af kritiske fejl på tværs af verdens mest udbredte operativsystemer og browsere blev katalogiseret på en måde, der fundamentalt ændrer trusselsbilledet.
Så skete der næsten øjeblikkeligt noget andet. En gruppe uautoriserede brugere fik adgang til Mythos selv – ikke ved at bryde ind i Anthropics kernesystemer, men ved at udnytte delte konti og API-nøgler, der tilhører en autoriseret tredjepartsleverandør. De lavede et kvalificeret gæt om modellens placering, fandt en åbning i leverandørlaget og kom ind.
Anthropic har bekræftet, at de undersøger hændelsen. Der er ingen beviser for, at deres egen infrastruktur blev kompromitteret. Men det er netop pointen.
Hvorfor dette er vigtigere end en typisk afsløring
Sikkerhedsteams har altid opereret ud fra den antagelse, at sårbarheder eksisterer og til sidst vil blive fundet. Spørgsmålet var tid – hvor lang tid det tager, før en fejl opdages, afsløres og rettes. Mythos ændrer fundamentalt denne ligning på to forskellige måder.
Den første er, hvad Mythos demonstrerede. AI kan nu kortlægge softwaresårbarheder i en skala og hastighed, som intet menneskeligt team kan matche. Mythos skabte ikke de tusindvis af fejl, de fandt i verdens mest udbredte operativsystemer og browsere. Disse fejl eksisterede allerede. Hvad Mythos viste, er, hvor effektivt de kan opdages – og det betyder, at enhver modstander med adgang til et sammenligneligt AI-værktøj nu kan finde og udnytte sårbarheder langt hurtigere end forsvarere kan rettes. Den fordel, som softwarekompleksitet engang gav forsvarere – at det at finde fejl var langsomt og dyrt arbejde – eroderer. Time-to-Exploit – vinduet mellem afsløring af sårbarheder og aktiv udnyttelse – er allerede kollapset fra 2,3 år i 2018 til 10 timer i 2026.
Det andet er, hvad Mythos selv repræsenterer. Anthropic vurderede eksplicit Mythos som for kraftfuld til at blive offentliggjort, med den begrundelse, at det kunne muliggøre farlige cyberangreb. Det er ikke forsigtig virksomhedspositionering. Det er deres egen tekniske vurdering af, hvad værktøjet kan gøre i de forkerte hænder. Og de forkerte hænder har det nu. En gruppe uautoriserede brugere har haft regelmæssig adgang til og brugt Mythos siden den dag, det blev annonceret – efter at have fundet vej ind gennem et tredjepartsleverandørmiljø.
Disse to trusler forstærker hinanden. AI har bevist, at det kan accelerere opdagelsen af sårbarheder i stor skala – og det mest kapable kendte værktøj til at gøre netop det er nu uden for det kontrollerede miljø, det var designet til. For organisationer, der er afhængige af softwarebaseret godkendelse, der kører på forbundne enheder, peger begge udviklinger i samme retning: angrebsfladen er mere eksponeret end den var for seks måneder siden, og de værktøjer, der er tilgængelige for modstandere, er mere kraftfulde.
Angrebsfladen, du faktisk kan reducere
IDEX biometriske smartkort er bygget på en fundamentalt anderledes arkitektur. Kortet er en hardwareenhed, der bruges til godkendelse – både fysisk adgang og digital login – hvor biometrisk behandling og private nøgler findes på selve kortet, ikke i et cloud-miljø eller på en mobilenhed.
“For at være sikker online, skal du gå offline”
Anders Storbråten, administrerende direktør, IDEX Biometrics
Når kortet ikke er i aktiv brug, er det fuldstændig afkoblet fra internettet. Brugere kan ikke installere software på det eller ændre det. Det betyder, at de softwarelag, som Mythos katalogiserede – operativsystemer, browsere, applikationer, der kører på tilsluttede enheder – ikke er en del af vores angrebsflade på samme måde. Der er intet leverandørmiljø at udnytte, ingen API-nøgle at stjæle, intet softwarelag at undersøge.
Kontrasten er ikke en påstand om, at hardware er uigennemtrængelig. Det er, at angrebsfladen strukturelt er mere begrænset: et dedikeret stykke hardware uden internetforbindelse i hvile, intet modificerbart softwarelag og ingen afhængighed af sikkerhedstilstanden for den enhed eller leverandør, det er parret med.
IDEX Biometrics Access Card bruger biometri på kortet og FIDO2 til online-godkendelse.
Bygget til at overleve angreb, som dine brugere ikke kan opdage
IDEX modtog FIDO2-certificering i februar 2026 – den internationale standard for phishing-resistent godkendelse. Efterhånden som AI-drevet phishing bliver mere overbevisende og sværere for brugerne at opdage, bliver godkendelse, der er resistent af arkitektur – ikke af brugerens årvågenhed – mere relevant. FIDO2 betyder, at legitimationsoplysninger ikke kan opfanges eller omdirigeres, selv ikke af sofistikerede automatiserede angreb.
Dette er det specifikke problem, IDEX adresserer: at erstatte softwarebaserede godkendelsesmetoder som SMS-koder eller mobile godkendelsesapps med et hardwarebaseret alternativ, hvor biometrien aldrig forlader kortet, og godkendelse ikke kan phishes eller kompromitteres gennem et leverandørmiljø.
Tør du vente?
Det rigtige spørgsmål, der kommer ud af Mythos, er ikke, om dine softwareleverandører vil opdatere deres systemer. Det vil de, og nye sårbarheder vil blive fundet. Spørgsmålet er, om godkendelseslaget, der beskytter dine mest følsomme adgangspunkter, eksponeres gennem de samme software- og leverandørlag – og om et hardwarebaseret alternativ giver mening for din use case.
