2026. április 7-én indult a Project Glasswing, az Anthropic és 11 techcég közös biztonsági kezdeményezése. A cél egyszerű: megelőzni, hogy a támadók az AI-képességeket kihasználva lehagyják a védőket. A koalíció a kritikus nyílt forráskódú szoftvereket célozza.
Mi a Project Glasswing és kik állnak mögötte?
A Project Glasswing egy AI-alapú sebezhetőség-keresési és -javítási program. Partnerei a hivatalos közlemény szerint: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA és Palo Alto Networks. A lista önmagában üzenet: hiperscalerek, chipgyártók, bank és security vendorok egy asztalnál.
Az Anthropic 100 millió dollár értékű Claude-kreditet biztosít a program résztvevőinek. Emellett 4 millió dollár közvetlen támogatást ad nyílt forráskódú biztonsági szervezeteknek. A 12 partner mellett 40+ egyéb szervezet is hozzáfér a Claude Mythos Preview modellhez. Ez az első olyan nagy, dedikált AI-biztonsági koalíció, ami ilyen közvetlen finanszírozással indul.
A program első fázisa 90 napig tart. Ennek végén nyilvános jelentés készül a konkrét eredményekről: megtalált sebezhetőségekről, javított CVE-kről és tanulságokról. A 90 napos keret azt üzeni, hogy az eredményt mérni és publikálni akarják. Nem egy újabb marketingakcióról van szó.
Mit céloz a gyakorlatban és mit jelent a fejlesztőknek?
A célpontok között szerepel a Linux kernel, az FFmpeg, az OpenBSD és a nagy böngészők kódbázisa. Ezek évtizedes, milliós sornyi projektek. Biztonsági hibáik az egész internetet érintik. A mainstream webes stack gyökere valamelyik ilyen projekt.
A gondolat mögöttes logikája a következő. Az AI eszközök ma már képesek kódot olvasni, sebezhetőséget felismerni és patcheket javasolni. Ha ezt a képességet előbb a védők használják ki, akkor az arány a védelem javára billen. Ha a támadók előznek, az ellenkezője történik. Ezt az aszimmetriát akarja a koalíció befolyásolni.
Ezzel párhuzamosan a fejlesztői ökoszisztéma más részein is hasonló trend látszik. A GitHub Copilot Agent módja és a Claude Code újdonságai szintén az autonóm fejlesztői ágensekbe tolnak. A biztonsági automatizáció ennek logikus folytatása.
A rövid válasz a fejlesztőknek: sok függőséged válik automatikusan biztonságosabbá. Ha WordPress-t, Next.js-t vagy bármilyen Node-alapú stacket futtatsz, a dependency fád gyökere valamelyik nyílt forráskódú projektben van. Ezek javuló biztonsága közvetlen haszon. A te munkád anélkül válik robusztusabbá, hogy egyetlen sort írnál.
Ugyanakkor három dolgot érdemes átgondolni. Először: a CVE-k gyorsabban érkeznek majd. A patch-ciklusodnak ezt le kell követnie. Másodszor: az automatizált sebezhetőség-keresés a saját kódbázisodra is rászabadulhat. Harmadszor: az AI-asszisztált biztonsági review új készség lesz a szakmában.
A legfontosabb gyakorlati lépés most: nézd át a függőségkezelésed. Tudod, melyik csomagod mikor frissült utoljára? A GitHub Dependabot vagy a Renovate ma már alap felszerelés. Ha még nincs bekötve, most érdemes elindítani. A CI pipeline-od audit lépése szintén most fáj a legkevésbé.
Hogyan készülj fel a következő hónapokra?
A 90 napos ciklus végén konkrét jelentés érkezik. Addig is érdemes pozícióba kerülni. Négy lépés, amit ma megtehetsz.
Először: vezess be automatikus dependency-frissítést minden aktív projekten. A kézi követés nem skálázódik. Másodszor: állíts be CVE-értesítést a használt fő csomagokra. A GitHub Advisory Database erre jó kiindulás. Harmadszor: tanulj meg AI-segítséggel biztonsági review-t csinálni.
A Claude Code, a Copilot és hasonló eszközök ma már jól ismerik fel a gyakori hibamintákat. SQL-injekció, XSS, unsafe deserialization, path traversal. Ezek felderítése ma már nem luxus. Egy alap security pass mindenre ma már olcsóbb, mint egy utólagos incidens.
Negyedszer: figyeld a 90 napos jelentést. A Project Glasswing első eredményei konkrét tanulságokat adnak majd. Mely hibatípusokat fogja meg jól az AI, és melyeket nem. Ez a saját review-folyamatod priorizálását is segíti.
A Project Glasswing nem varázsgömb. Egy iparági összefogás, ami egy konkrét problémát céloz. A te feladatod nem az, hogy a koalíciót kövesd. Az, hogy a saját kódodat a javuló alapokra építsd, és ne hagyd nyitva az alap biztonsági kérdéseket.
A következő lépés konkrét: frissítsd a függőségeid, kapcsold be a security alertet, és próbáld ki a Claude-ot egy kisebb biztonsági review-hoz. Kezdd egy olyan projekten, ahol hibázni még olcsó. Az első kör után már lesz saját tapasztalatod arról, hol segít és hol nem.
