• OpenAI și Anthropic au pornit o cursă intensă în securitate cibernetică, după apariția modelelor GPT-5.5 și Anthropic Mythos
• Business Insider relatează că noile modele au stârnit îngrijorări globale, pentru că pot ajuta atât apărătorii, cât și atacatorii
• Anthropic susține că Mythos a găsit mii de vulnerabilități grave, inclusiv breșe pe care oamenii nu le-au observat ani întregi
• Codul generat de AI crește viteza de dezvoltare, dar poate aduce și mai multe erori, buguri și puncte slabe în software
• Directorii de securitate informatică, sau CISO, devin personaje centrale într-o cursă în care fiecare patch întârziat poate deveni o invitație pentru hackeri

OpenAI și Anthropic au declanșat în această primăvară o cursă accelerată în securitate cibernetică, după ce cele mai noi modele AI au arătat că pot face mai mult decât să scrie cod, să explice erori sau să ajute programatorii obosiți la 2 dimineața. Potrivit Business Insider, modelele OpenAI GPT-5.5 și Anthropic Mythos au aprins îngrijorări majore în industrie, pentru că aceeași putere care ajută echipele de securitate să găsească breșe poate fi folosită și de atacatori.

Pe 18 mai 2026, Business Insider a relatat că profesioniștii din securitate se pregătesc pentru un an cu mai multe tentative de hacking, mai multe vulnerabilități descoperite automat și mai mult cod care trebuie verificat. Isaac Evans, CEO-ul startupului Semgrep, a rezumat atmosfera simplu: „Toată lumea prezice că va fi mult mai mult hacking anul acesta”.

Momentul care a ridicat tensiunea a venit pe 7 aprilie, când Anthropic a anunțat Mythos, un model AI despre care compania spune că poate descoperi vulnerabilități severe în software. Nu vorbim despre greșeli banale, de tipul „ai uitat o parolă într-un fișier text”, ci despre probleme capabile să afecteze sisteme de operare, browsere și infrastructură software folosită la scară globală.

OpenAI, la rândul său, a împins o serie de instrumente defensive. Compania a prezentat inițiative precum Daybreak, prin care dezvoltatorii pot cere scanări de securitate, și acces controlat la capabilități cyber pentru profesioniști verificați. Ideea oficială este simplă: dacă AI-ul poate accelera atacurile, trebuie să accelereze și apărarea.

Doar că în cybersecurity, viteza este o sabie cu două tăișuri. Un model care găsește o breșă într-o noapte poate salva o companie. Același tip de model, ajuns la cine nu trebuie, poate transforma o vulnerabilitate uitată într-un atac real înainte ca echipa IT să termine cafeaua.

Amenințarea AI nu vine cu mască de hacker, ci cu răbdare infinită

Când oamenii aud „atac cibernetic”, se gândesc adesea la un hacker cu hanorac, ecrane verzi și muzică tensionată în fundal. Realitatea e mai puțin cinematografică și mai obositoare: multe atacuri încep cu răbdare, testare repetată și căutarea unei greșeli minuscule într-un sistem uriaș.

Aici devine AI-ul periculos. Un model avansat nu obosește, nu se plictisește, nu sare peste documentație pentru că e vineri după-amiază. Poate analiza cod, poate căuta combinații, poate compara comportamente și poate identifica locuri unde software-ul crapă discret. Anthropic a spus că Mythos a găsit mii de vulnerabilități severe, unele trecute neobservate de oameni ani întregi.

Printre cele mai sensibile riscuri se află vulnerabilitățile zero-day. Un zero-day este o breșă necunoscută anterior producătorului software-ului. Cu alte cuvinte, nu există încă un patch public, iar atacatorii pot profita de ea înainte ca apărătorii să știe exact ce se întâmplă. În limbaj mai simplu: e ca și cum cineva descoperă o ușă secretă într-o clădire înainte ca proprietarul să știe că ușa există.

Anthropic a ales să nu lanseze Mythos public pentru toată lumea, ci să ofere acces limitat unor parteneri de încredere. Compania a explicat că vrea să le ofere apărătorilor un avans. Este o decizie importantă, pentru că arată cât de delicată a devenit linia dintre cercetare responsabilă și armă digitală.

Business Insider notează că reacția nu s-a limitat la companii. Administrația Trump a început discuții despre un sistem de evaluare a modelelor AI noi, iar oficiali din Marea Britanie au publicat o scrisoare deschisă prin care au avertizat companiile că riscul cyber nu mai poate fi delegat pur și simplu departamentului IT. Dacă boardul nu discută regulat despre securitate, mesajul autorităților britanice a fost clar: ar trebui să înceapă.

Codul scris mai repede înseamnă și buguri produse mai repede

O parte din problemă vine chiar din succesul instrumentelor AI de programare. OpenAI și Anthropic au lansat produse care îi ajută pe dezvoltatori să scrie cod mai rapid, să repare erori și să construiască funcționalități în timp record. Pentru companii, asta sună excelent: mai mult cod, mai repede, cu echipe mai eficiente.

Dar software-ul nu iartă entuziasmul. Dacă produci de zece ori mai multe linii de cod, poți produce și de zece ori mai multe greșeli. Isaac Evans, CEO-ul Semgrep, avertizează exact asupra acestui lucru: creșterea volumului de cod poate duce la o creștere proporțională, sau chiar mai mare, a vulnerabilităților.

Feross Aboukhadijeh, CEO-ul startupului Socket, a descris situația drept o „furtună perfectă”. Dezvoltatorii folosesc tot mai mult cod generat de AI, revizuiesc uneori mai superficial ce primesc și se bazează masiv pe biblioteci externe. Aceste biblioteci open-source sunt esențiale pentru internetul modern, dar pot deveni și canale prin care o vulnerabilitate se răspândește rapid în mii de produse.

În termeni simpli, „suprafața de atac” a companiilor se extinde. Suprafața de atac înseamnă toate locurile prin care un sistem poate fi compromis: cod propriu, biblioteci externe, API-uri, servicii cloud, parole, servere vechi, aplicații interne și mici improvizații care „merg deocamdată”. Iar în tehnologie, „deocamdată” are obiceiul neplăcut de a deveni producție.

Asta nu înseamnă că AI-ul de coding este rău. În multe cazuri, este un câștig enorm de productivitate. Dar fără verificare serioasă, poate funcționa ca un ucenic extrem de rapid care construiește un pod peste noapte. Dimineața, toată lumea aplaudă. Apoi vine întrebarea esențială: a verificat cineva dacă podul ține?

CISO a devenit omul care trebuie să repare acoperișul în timpul furtunii

În centrul acestei curse se află CISO, chief information security officer, adică directorul responsabil de securitatea informatică. Rolul era deja greu înainte de valul AI: ransomware, phishing, parole slabe, audituri, reglementări, cloud, furnizori, angajați care dau click pe „factura_finala_finala2.pdf.exe”.

Acum, peste toate acestea, vine inteligența artificială. CISO trebuie să gestioneze nu doar atacuri mai rapide, ci și propriile echipe care folosesc AI, cod generat automat, instrumente noi de scanare și presiunea boardului de a adopta tehnologia fără să deschidă ușa hackerilor.

Manoj Nair, de la Snyk, a numit situația „AI fog” — ceață AI. Este o formulare bună pentru momentul actual. Toată lumea știe că trebuie să se miște repede, dar nu toate riscurile sunt vizibile. Companiile văd oportunitatea, investitorii cer eficiență, dezvoltatorii folosesc asistenți AI, iar echipele de securitate trebuie să spună, uneori nepopular: „Stați puțin, să vedem ce tocmai am introdus în sistem”.

Presiunea este amplificată de faptul că atacurile nu mai sunt doar o problemă tehnică. O breșă poate opri operațiuni, poate expune date personale, poate afecta clienți, poate aduce amenzi și poate lovi reputația unei companii. Pentru infrastructură critică, sănătate, finanțe sau energie, riscul devine și mai mare.

De aceea, autoritățile britanice au avertizat companiile că riscul cyber trebuie discutat la nivel de board. Nu mai este suficient ca cineva din IT să instaleze patch-uri într-un colț al organizației. Securitatea a devenit o decizie de business, iar AI-ul doar a apăsat accelerația.

Echipele de securitate răspund cu AI, dar nu pot lăsa pilotul automat singur

Răspunsul industriei nu este să oprească AI-ul, ci să îl folosească mai atent. OpenAI, Anthropic și companiile de cybersecurity încearcă să pună modelele puternice în mâinile apărătorilor înainte ca aceleași capabilități să ajungă peste tot. Este o cursă de tip „patch before breach”: repară înainte ca breșa să fie exploatată.

OpenAI spune că noile sale instrumente cyber sunt gândite pentru fluxuri defensive: scanarea codului, identificarea vulnerabilităților, trierea alertelor, generarea de patch-uri și verificarea remedierilor. Anthropic merge pe o logică similară cu Mythos, oferind acces controlat către parteneri care pot testa, raporta și repara probleme.

Startupuri precum Semgrep, Socket și Snyk sunt prinse în mijlocul acestei transformări. Ele construiesc instrumente care scanează cod, identifică dependențe riscante și ajută companiile să înțeleagă unde sunt vulnerabile. Practic, dacă AI-ul mărește viteza cu care apare cod nou, aceste companii încearcă să mărească viteza cu care acel cod este verificat.

Totuși, AI-ul nu elimină nevoia de oameni. Dimpotrivă, o mută într-un loc mai important. Modelele pot găsi posibile vulnerabilități, dar oamenii trebuie să decidă ce este critic, ce este fals pozitiv, ce se repară primul și ce impact are patch-ul.

În securitate, un răspuns greșit poate fi aproape la fel de periculos ca lipsa unui răspuns.

Cursa pornită de OpenAI și Anthropic arată direcția următorilor ani: securitate cibernetică mai rapidă, atacuri mai automatizate, cod mai abundent și presiune mai mare pe companii să știe ce rulează în propriile sisteme. Nu câștigă neapărat cine are cel mai spectaculos model AI. Câștigă cine își cunoaște codul, își repară breșele la timp și nu confundă viteza cu siguranța.

Citește și

• Europa apasă frâna pe cloud-ul american. Datele sensibile ale statului ar putea rămâne „acasă”
• Platforma educațională Canvas a fost ținta unui atac cibernetic. Datele mai multor instituții de învățământ din SUA au fost expuse
• Sam Altman „produce” noi milionari. OpenAI le-a permis angajaților să vândă acțiuni în valoare totală de 6,6 miliarde de dolari