Claude Mythos viser, hvor hurtigt cyberfeltet flytter sig – men er Danmark klar til tempoet?

10. apr.

Skrevet af Casper Noah Damgaard Christensen

AI udvikler sig ekstremt hurtigt, og med Anthropic’s nye Claude Mythos Preview begynder vi for alvor at se, hvor dramatisk den udvikling kan blive for cybersikkerhedsområdet. Ifølge Anthropic er Mythos i stand til autonomt at identificere og udnytte sårbarheder, og selskabet beskriver blandt andet, hvordan modellen selv fandt og exploiterede en 17 år gammel remote code execution-sårbarhed i FreeBSD, som kunne give root-adgang til en maskine med NFS eksponeret. Anthropic skriver også, at medarbejdere uden formel sikkerhedsuddannelse har bedt modellen finde en RCE-sårbarhed natten over og næste morgen vågnet op til en færdig, fungerende exploit. Hvis de beskrivelser holder, er det ikke bare endnu et teknologisk fremskridt. Det er et tegn på, at vi bevæger os ind i en virkelighed, hvor avanceret offensiv cyberkapacitet i højere grad kan ligge i selve teknologien og ikke kun hos højt specialiserede eksperter.

Det er netop det, der gør Mythos så kontroversiel. I mange år har vi levet i en nogenlunde kendt balance, hvor det krævede betydelige tekniske kompetencer at gå fra sårbarhedsfund til reel udnyttelse. Med modeller som Mythos ser den balance ud til at blive udfordret. Anthropic skriver selv, at kraftige sprogmodeller på længere sigt sandsynligvis vil gavne dem der vil forsvare mere end dem der vil gøre en ondt, men de anerkender også direkte, at angribere på kort sigt kan få fordelen, hvis modeller bliver frigivet uforsigtigt og uforsvarligt. Det er en vigtig erkendelse, fordi den rammer direkte ind i den bekymring, mange i cybermiljøet allerede har. Netop at vi i en overgangsperiode kan få et vindue, hvor offensive aktører udnytter teknologien hurtigere, end defensive miljøer når at tilpasse sig.

Dog vil det være for unuanceret kun at læse Mythos som en trussel. Anthropic peger selv på, at den samme type modeller også kan bruges defensivt til blandt andet triage af sårbarhedsrapporter, patchforslag, analyse af fejlkonfigurationer, hurtigere migrationsarbejde, prioritering af hændelser og mere automatiseret incident response. Det er en vigtig pointe, for hvis teknologien bruges rigtigt, kan den i princippet være med til at hæve det generelle sikkerhedsniveau markant. Problemet er bare, at gevinsten ikke kommer automatisk. Den kræver organisationer, processer og governance, som er klar til at omsætte den teknologiske styrke til reel modstandskraft.

Det mest urovækkende ved Mythos er måske ikke kun, hvad modellen kan, men hvem der i sidste ende kan få adgang til tilsvarende kapabiliteter. Anthropic er ikke længere blot en privat techvirksomhed, men en aktør, som i 2025 indgik en toårig prototypeaftale med det amerikanske forsvarsministerium. Selvom relationen siden blev ramt af konflikt og restriktioner i 2026, viser forløbet, hvor tæt AI allerede er kommet på statslige og militære interesser. Når Anthropic samtidig selv beskriver Mythos Preview som en model med markante offensive og defensive cyberkapabiliteter og holder den tilbage fra bred offentlig adgang, rejser det et mere grundlæggende spørgsmål: Hvor længe går der, før modeller med denne type egenskaber bliver et aktiv i en bredere geopolitisk konkurrence mellem stater? Det er ikke kun et spørgsmål om innovation, men om magt, kontrol og risikoen for misbrug. Det er ikke bare fra USA, men fra enhver stat, der får adgang til den slags værktøjer. Hvis Mythos er et varsel om, hvad der er på vej, bør diskussionen derfor ikke kun handle om produktlanceringer, men om, hvorvidt vi allerede ser de første tegn på et AI-drevet kapløb om strategiske kapabiliteter.

Det er her, den danske vinkel bliver interessant. For samtidig med at denne type AI-kapabiliteter accelererer, er Danmark midt i implementeringen af NIS2 og et bredere løft af cybersikkerhed og samfundssikkerhed. NIS 2 trådte i kraft den 1. juli 2025, og implementeringen af det kommer med skærpede krav til ledelsesansvar, hændelsesrapportering og implementering af cybersikkerhedsforanstaltninger. Regeringen har desuden i DK2035 fremhævet implementeringen af NIS 2-loven, strategien for cyber- og informationssikkerhed 2026-2029 og opbygningen af et nationalt værn mod cyberangreb som centrale elementer i den styrkede cyberindsats. Der er altså kommet mere fokus, flere krav og flere ressourcer på området, og det er i sig selv både nødvendigt og positivt.

Men et spørgsmål er også om det går hurtigt nok. EU’s frist for gennemførelse af NIS2 var 17. oktober 2024, og Europa-Kommissionen meddelte 7. maj 2025, at Danmark var blandt de medlemsstater, som ikke havde notificeret fuld gennemførelse. Når den danske NIS 2-lov først trådte i kraft 1. juli 2025, siger det noget om, at implementeringstempoet allerede fra begyndelsen har været under pres. Det er ikke nødvendigvis udtryk for passivitet, men det illustrerer et mere grundlæggende problem: regulering og organisatorisk implementering bevæger sig sjældent i samme hastighed som teknologiske gennembrud. Og hvis AI-modeller nu er på vej til at forkorte vejen fra sårbarhed til exploit markant, bliver det tidsgab pludselig meget mere kritisk.

Regeringens 2035-plan understreger samtidig, at området er blevet prioriteret økonomisk. Her fremgår det, at der er afsat cirka 0,3 mia. kr. årligt til staten, regionerne og kommunerne til implementeringen af NIS 2-direktivet i dansk lovgivning, og at der derudover disponeres 1 mia. kr. årligt til en forhøjet ramme til beredskab og samfundssikkerhed. Det er væsentligt, og det bør anerkendes. Men ressourcer og regulering er ikke i sig selv det samme som operationel robusthed. Robusthed opstår først, når krav bliver oversat til governance, leverandørstyring, patchingdisciplin, overvågning, hændelseshåndtering, øvelser og ledelsesmæssige prioriteringer, som faktisk virker i praksis.

Derfor er Mythos i virkeligheden interessant af en større grund end bare selve modellen. Den fungerer som en påmindelse om, at cybersikkerhed ikke længere kun handler om at hæve modenheden gradvist over tid. Vi kan være på vej ind i en periode, hvor trusselsudviklingen accelererer så hurtigt, at selv relativt nye regulatoriske rammer risikerer at halte bagefter, hvis de ikke følges op af reel implementeringskraft. Danmark er kommet længere. Der er kommet regulering, opmærksomhed og penge på området. Men spørgsmålet er, om vi når at omsætte det til faktisk modstandskraft, før teknologien flytter angrebsfladen endnu en gang.

Det er derfor ikke nok at spørge, om AI som Mythos er farlig eller nyttig. Den er sandsynligvis begge dele. Det afgørende spørgsmål er, hvem der er klar til at bruge den bedst, hurtigst og mest ansvarligt. Hvis den defensive side formår at omsætte den til bedre triage, hurtigere patching, stærkere incident response og mere moden styring af kritiske systemer, kan den blive et reelt løft for cybersikkerheden. Hvis ikke, risikerer vi en periode, hvor de aktører, der arbejder offensivt, får et forspring, som hverken regulering eller klassiske sikkerhedsprogrammer alene kan indhente. Og netop derfor kan Mythos være mere end bare en teknologihistorie. Det er også en historie om beredskab, implementeringsevne og hvor hurtigt samfundet kan omstille sig, når teknologien flytter sig hurtigere end institutionerne omkring den.