Kiedy Anthropic ogłaszał Mythos Preview i Project Glasswing, narracja była prosta: model zbyt niebezpieczny żeby go publicznie udostępnić, dostęp tylko dla pięćdziesięciu wybranych organizacji, zdolności ofensywne na poziomie, jakiego wcześniej nie widziano. Naturalnym wnioskiem było: problem pojawi się gdy podobne zdolności trafią do ogólnodostępnych modeli. Za jakiś czas. Może za pół roku.
Badacz publikujący pod szyldem Hacktron zepsuł tę narrację w jeden tydzień.
Tydzień pracy. 2,3 miliarda tokenów. 2283 dolary kosztów API. Około dwudziestu godzin interwencji człowieka odblokującego martwe zaułki. I działający łańcuch exploita dla Chrome — nie na Mythos Preview, tylko na Opus 4.6. Modelu, który był dostępny dla każdego z subskrypcją i który właśnie w trakcie eksperymentu został zastąpiony przez Opus 4.7.
Co dokładnie zostało zbudowane
Badacz wybrał cel precyzyjnie: Discord w wersji dla komputerów stacjonarnych, która pod spodem używa wbudowanej przeglądarki Chrome 138 — dziewięć głównych wersji za aktualną. Starszy Chrome, znane luki, ale bez publicznych exploitów. Dokładnie ten rodzaj celu, który w rzeczywistych atakach jest atrakcyjny: oprogramowanie, które miliony ludzi ma zainstalowane i rzadko aktualizuje, bo aktualizacja aplikacji klienckiej nie jest tak intuicyjna jak kliknięcie "aktualizuj" w przeglądarce.
Łańcuch ataku składał się z dwóch połączonych podatności.
Pierwsza: CVE-2026-5873 — błąd odczytu i zapisu poza granicami bufora w kompilatorze Turboshaft silnika V8, używanym do optymalizacji kodu WebAssembly. Podatność polega na tym, że pod określonymi warunkami kompilator usuwa sprawdzenie granic bufora po optymalizacji kodu — co pozwala na zapis i odczyt pamięci poza dozwolonym zakresem. Google naprawiło ją w Chrome 147. Nie było publicznego exploita. Badacz dał Claude Opus tylko zapis zmian w kodzie z poprawki — i po dniu zmagań model zbudował działający prymityw odczytu i zapisu pamięci od podstaw.
Druga: obejście piaskownicy V8 przez błąd klasy use-after-free w tablicy wskaźników kodu WebAssembly. Nowoczesne przeglądarki izolują silnik JavaScript za kilkoma warstwami ochrony — sam dostęp do pamięci V8 nie wystarczy do przejęcia systemu. Żeby wyjść poza piaskownicę V8, Claude użył osobnej podatności: przez uszkodzenie tablicy importów i konfuzję typów uzyskał dostęp do odczytu i zapisu całej przestrzeni adresowej wirtualnej.
Rezultat: ładunek, który przekierowuje przepływ wykonania do pamięci podręcznej dyld w macOS i uruchamia dowolne polecenia systemowe. Standardowa demonstracja — otwarcie kalkulatora — na ARM64 macOS. Działa.
20 godzin człowieka i 2,3 miliarda tokenów
Ważne jest to co badacz mówi wprost: proces nie był w pełni autonomiczny. Opus 4.6 wymagał rozległego nadzoru człowieka, rusztowania i zarządzania operacyjnego. Tydzień pracy to nie był tygodniowy bieg modelu bez interwencji — to był tydzień współpracy, w której badacz regularnie odblokował model gdy utykał w martwych zaułkach.
Niektóre błędy były poza zasięgiem. CVE-2025-12429 — badacz znał mechanizm exploitacji, ale Claude nie potrafił go rozgryźć. CVE-2026-3910 — aktywnie exploitowany błąd, którego ani badacz ani model nie zdołali wyeksploitować. Ostatecznie to badacz wskazał CVE-2026-5873 jako cel na podstawie eksploracji modelu, bo widział który błąd jest realnie wykonywalny — Opus sam tego nie rozpoznał.
To jest istotna różnica w stosunku do obrazu Mythos Preview opisywanego przez Anthropic: Mythos działał autonomicznie, od promptu do działającego exploita, bez interwencji. Opus potrzebował człowieka jako operatora — ale człowieka bez specjalizacji w eksploitacji przeglądarek, który uczył się przy okazji eksperymentu.
Cytat, który zatrzymuje
Badacz kończy swój wpis zdaniem, które warto zacytować w całości: "Jeśli Opus potrafi zrobić to co właśnie pokazałem, ekstrapoluj do Mythos. A potem ekstrapoluj jeszcze raz."
To zdanie jest precyzyjną odpowiedzią na narrację o Mythos jako czymś wyjątkowym i odległym. Pisaliśmy że Mythos Preview to efekt uboczny ogólnych ulepszeń w kodzie, rozumowaniu i autonomii — nie celowego treningu do pisania exploitów. Eksperyment Hacktron pokazuje że ten gradient jest płynny i ciągły: Opus 4.6 robi to co robi z ludzką pomocą, Mythos robi to bez niej. Między nimi nie ma przepaści — jest różnica w poziomie autonomii.
Kontekst z poprzedniego wpisu
Pisaliśmy niedawno o CVE-2026-34197 w Apache ActiveMQ — trzynastoletnim błędzie znalezionym przez badacza Sunkavally'ego, który wprost powiedział że odkrycie było w osiemdziesięciu procentach zasługą Claude. Tamten wpis dotyczył szukania podatności. Ten dotyczy budowania exploita. Razem opisują ten sam wzorzec z dwóch stron: model jako narzędzie w rękach badacza, który multiplikuje jego możliwości bez zastępowania jego wiedzy i oceny.
Różnica między szukaniem błędów a ich eksploitacją jest technicznie znacząca — exploit wymaga głębszego rozumienia mechanizmów pamięci, architektury procesora i specyfiki środowiska. Eksperyment Hacktron pokazuje że ta różnica istnieje, ale nie jest przepaścią. Jest tygodniem pracy i 2283 dolarami.
Koszt jako sygnał
2283 dolary to liczba, która warta jest chwili zastanowienia.
Dla wyspecjalizowanego badacza bezpieczeństwa z głęboką wiedzą o V8 — to koszt, który pewnie mógłby zredukować istotnie przez własną pracę i bez płacenia za API. Ale dla kogoś bez tej wiedzy — to koszt dostępu do zdolności, które wcześniej były zupełnie poza zasięgiem. Model nie zastąpił eksperta, ale zredukował próg wejścia do eksploitacji złożonych podatności przeglądarkowych z "wieloletnie doświadczenie w inżynierii wstecznej V8" do "umiejętność zadawania właściwych pytań i rozpoznawania martwych zaułków."
FIRST prognozuje 50 tysięcy nowych CVE w 2026 roku. NIST właśnie przyznał że nie nadąża z uzupełnianiem bazy podatności. Okno łatania kurczy się do godzin. A teraz okazuje się że budowanie exploita dla niespatchowanej przeglądarki kosztuje mniej niż miesięczna subskrypcja niektórych narzędzi bezpieczeństwa.
Jeden szczegół, który nie powinien umknąć
Badacz wspomniał przy okazji coś, co warto wyciągnąć osobno. Testując exploit — okazało się że działa na jego własnym Chrome, bo nie kliknął przycisku aktualizacji. CVE-2026-5873 zostało naprawione w Chrome 147. Wersja na jego maszynie była starsza.
"Time-to-patch in action" — skomentował lakonicznie.
To nie jest anegdota na marginesie. To jest dokładny mechanizm, który opisywaliśmy przy Marimo, Flowise i w zestawieniu obu przypadków: okno między dostępną poprawką a jej wdrożeniem to okno exploitacji. Tylko że tym razem nie chodzi o zapomnianą instancję platformy deweloperskiej gdzieś na serwerze — chodzi o przeglądarkę na laptopie badacza bezpieczeństwa, który przez tydzień pisał o tym jak niebezpieczne jest nieaktualizowanie oprogramowania.
Podsumowanie
Eksperyment Hacktron nie obala narracji o Mythos Preview jako czymś wyjątkowym. Mythos jest rzeczywiście jakościowo inny — autonomiczny, bez nadzoru człowieka, skuteczny na szerszej klasie celów. Ale pokazuje że granica między "ogólnodostępny model z pomocą człowieka" a "autonomiczny model bez człowieka" jest mniej wyraźna niż sugerował dramatyzm ogłoszeń Anthropic.
Pisaliśmy że Mythos Preview to efekt uboczny ogólnych ulepszeń — że zdolności ofensywne rosną razem ze zdolnościami ogólnymi, bez specjalnego treningu. Eksperyment z Opus 4.6 jest dowodem na to samo zjawisko w powszechnie dostępnym modelu: tydzień pracy, 2283 dolary, działający exploit dla jednej z najpopularniejszych przeglądarek na świecie.
Ekstrapolacja do Mythos, którą sugeruje badacz, jest ćwiczeniem, które każdy może wykonać samodzielnie.
Źródła
Hacktron — pierwotny wpis badacza z opisem eksperymentu, kosztem i wnioskami: https://www.hacktron.ai/blog/i-let-claude-opus-to-write-me-a-chrome-exploit
The Register — omówienie w kontekście Mythos: https://www.theregister.com/2026/04/17/claude_opus_wrote_chrome_exploit/
Cybernews — analiza techniczna łańcucha exploita: https://cybernews.com/security/claude-ai-hack-chrome-v8-exploit/
Cybersecurity News — szczegóły CVE-2026-5873 i obejście piaskownicy V8: https://cybersecuritynews.com/claude-opus-to-build-a-working-chrome-exploit-chain/
