Apa itu Claude Mythos dan bisakah saya menggunakannya?

Pratinjau Claude Mythos adalah model AI terbaru Anthropic, diumumkan pada 7 April 2026. Model ini menemukan lebih dari 500 kerentanan dengan tingkat keparahan tinggi dalam proyek sumber terbuka seperti FFmpeg, OpenBSD, dan FreeBSD. Anthropic tidak memiliki rencana untuk rilis publik. Akses dibatasi untuk mitra Project Glasswing termasuk AWS, Apple, Google, Microsoft, Nvidia, dan CrowdStrike.

Kerentanan macam apa yang ditemukan Claude Mythos?

Mitos menemukan bug kerusakan memori, buffer overflows, stack overflows, dan kelemahan logika. Contoh penting termasuk penulisan di luar batas berusia 16 tahun dalam codec H.264 FFmpeg, bug penolakan layanan berusia 27 tahun di tumpukan TCP OpenBSD, dan kerentanan eksekusi kode jarak jauh berusia 17 tahun di FreeBSD NFS (CVE-2026-4747).

Bisakah saya memeriksa keamanan SSL dan DNS domain saya dengan API?

Ya. Kirim permintaan POST ke https://api.botoi.com/v1/ssl-cert/expiry dengan domain Anda untuk memeriksa validitas sertifikat. Gunakan /v1/dns-security/spf-check, /v1/dns-security/dmarc-check, dan /v1/dns-security/dkim-check untuk mengaudit catatan autentikasi email. Semua titik akhir berfungsi tanpa kunci API dengan kecepatan 5 permintaan per menit.

Bagaimana cara mengotomatiskan pemeriksaan keamanan di saluran CI?

Panggil titik akhir keamanan dari sistem CI mana pun menggunakan curl atau klien HTTP. Periksa masa berlaku SSL, catatan keamanan DNS, header keamanan HTTP, dan ketersediaan situs pada setiap push atau jadwal cron. Botoi API mengembalikan JSON terstruktur, sehingga Anda dapat mengurai hasil dan menggagalkan build ketika pemeriksaan mengembalikan peringatan.

Apa itu Proyek Glasswing?

Project Glasswing adalah inisiatif Anthropic yang menggunakan Claude Mythos untuk keamanan defensif. Mitranya meliputi AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks, dan Linux Foundation. Anthropic memberikan komitmen hingga $100 juta dalam bentuk kredit API dan $4 juta untuk organisasi keamanan sumber terbuka.

Guide

Claude Mythos menemukan 500+ zero-days: otomatiskan pemeriksaan keamanan Anda

9 Apr 2026 | 8 min read

Antropis\

Abstract blue digital circuit pattern representing AI security analysis — Photo by Growtika on Unsplash

Pada 7 April 2026, Anthropic mengumumkan Pratinjau Claude Mythos. Dalam beberapa hari pengujian internal, ditemukan lebih dari 500 kerentanan dengan tingkat keparahan tinggi di beberapa basis kode yang paling banyak diteliti di planet ini: anak berusia 16 tahun yang berada di luar batas tulis di FFmpeg, penolakan layanan berusia 27 tahun di OpenBSD, dan eksekusi kode jarak jauh di FreeBSD yang berjalan tidak terdeteksi selama 17 tahun (CVE-2026-4747).

Anda tidak memiliki akses ke Mitos. Anthropic membatasinya hanya pada mitra Project Glasswing: AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, dan beberapa lainnya. Namun pesannya jelas: jika AI dapat menemukan bug yang bersembunyi basis kode diuji oleh fuzzer jutaan kali, infrastruktur Anda juga memiliki celah.

Postingan ini mencakup enam pemeriksaan keamanan yang dapat Anda otomatisasi sekarang dengan panggilan API. Tidak diperlukan akses Mythos. Masing-masing seseorang mengambil satu curl perintah dan mengembalikan JSON terstruktur yang dapat Anda masukkan ke peringatan, dasbor, atau saluran pipa CI.

Apa yang Mythos temukan (dan mengapa itu penting untuk tumpukan Anda)

Fuzzer tradisional memberikan masukan acak pada kode. Mitos membaca dan alasan tentang kode sumber seperti keamanan peneliti. Ini menelusuri riwayat penerapan Git, mengidentifikasi patch yang tidak lengkap, dan membangun rantai eksploitasi beberapa kerentanan.

Proyek	Jenis bug	Usia	Detil
Kodek FFmpeg H.264	Menulis di luar batas	16 tahun	Tabrakan penomoran irisan; fuzzers mencapai garis 5 juta kali tanpa memicunya
OpenBSD TCP/SACK	Penolakan layanan	27 tahun	Overflow integer bertanda + dereferensi penunjuk NULL; membuat mesin apa pun mogok dari jarak jauh
NFS FreeBSD	Eksekusi kode jarak jauh	17 tahun	CVE-2026-4747; tumpukan buffer overflow di autentikasi RPCSEC_GSS, tidak diperlukan autentikasi
Skrip Hantu	Melewati batas tumpukan	Puluhan tahun	Batas tidak lengkap memeriksa penanganan font; mencerminkan jalur yang telah ditambal sebelumnya
CGIF	Buffer meluap	Bertahun-tahun	Penyetelan ulang kamus LZW menyebabkan keluaran melebihi ukuran masukan; Cakupan kode 100% melewatkannya

Biayanya? Di bawah $20.000 untuk menemukan bug OpenBSD. Di bawah $10.000 untuk kerentanan FFmpeg. Itu lebih murah daripada satu minggu pengujian penetrasi manual.

Anda tidak dapat menjalankan Mythos dengan kode Anda sendiri hari ini. Namun Anda dapat menutup celah yang tidak memerlukan biner dalam analisis: sertifikat kedaluwarsa, autentikasi email hilang, header keamanan lemah, dan waktu henti senyap.

Pemeriksaan 1: Masa berlaku sertifikat SSL sudah habis

Sertifikat SSL yang kedaluwarsa menyebabkan pemadaman dan mematikan kepercayaan pengguna. Stripe, Microsoft, dan Spotify semuanya memilikinya insiden terkait sertifikat. Satu panggilan API memberi tahu Anda berapa hari yang tersisa.

curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "issuer": "Let's Encrypt",
    "valid_from": "2026-02-01T00:00:00.000Z",
    "valid_to": "2026-05-02T00:00:00.000Z",
    "days_remaining": 23,
    "expired": false,
    "expiring_soon": true
  }
}

Itu expiring_soon bendera terbalik ke true ketika sertifikat dalam waktu 30 hari kadaluwarsa. Masukkan ini ke peringatan Slack atau pemeriksaan CI.

Pemeriksaan 2: validasi catatan SPF

Data SPF yang salah dikonfigurasi berarti penyerang dapat memalsukan email dari domain Anda. Pengumuman Mythos mengingatkan semua orang yang keamanannya melampaui kode: konfigurasi DNS Anda juga merupakan permukaan serangan.

curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "has_spf": true,
    "record": "v=spf1 include:_spf.google.com ~all",
    "issues": [
      "SPF record uses ~all (softfail) instead of -all (hardfail)"
    ],
    "score": "B"
  }
}

Masalah umum yang ditangkap oleh titik akhir: ~all alih-alih -all, terlalu banyak pencarian DNS (melebihi batas 10 pencarian), dan hilang include: arahan untuk pengirim pihak ketiga.

Pemeriksaan 3: kebijakan DMARC

Tanpa DMARC, pemeriksaan SPF dan DKIM Anda tidak akan diterapkan. Penyerang meneruskan email palsu ke kotak masuk itu lewati verifikasi.

curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

Mencari policy: "reject" dalam tanggapannya. Kurang dari itu (none atau quarantine) berarti email palsu dari domain Anda masih dapat masuk ke kotak masuk.

Pemeriksaan 4: Pemilih DKIM

DKIM menandatangani email keluar dengan kunci kriptografi. Tanpanya, server penerima tidak dapat memverifikasi konten email tersebut tidak dirusak dalam perjalanan.

curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com", "selector": "google"}'

Berikan pemilih yang digunakan penyedia email Anda (yang digunakan Google google, Microsoft menggunakan selector1 Dan selector2). Titik akhir memvalidasi keberadaan kunci publik dan kebenarannya diformat.

Pemeriksaan 5: Header keamanan HTTP

Header tidak ada seperti Strict-Transport-Security, X-Content-Type-Options, Dan Content-Security-Policy biarkan aplikasi Anda terbuka terhadap serangan downgrade, sniffing MIME, dan XSS.

curl -s -X POST https://api.botoi.com/v1/headers \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Jawabannya meliputi a security_headers objek yang menunjukkan header mana yang ada, mana yang hilang, dan nilai-nilai apa yang dikandungnya. Tambahkan pemeriksaan ini ke alur penerapan Anda untuk menangkap regresi.

Pemeriksaan 6: Waktu aktif dan waktu respons

Jika situs Anda sedang down, tidak ada hal lain yang penting. Pemeriksaan uptime cepat memastikan aplikasi Anda merespons, mengukur latensi, dan menangkap loop pengalihan atau kode status yang tidak terduga.

curl -s -X POST https://api.botoi.com/v1/uptime/check \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Gabungkan keenamnya menjadi satu skrip audit

Jalankan keenam pemeriksaan terhadap domain mana pun dengan satu skrip bash. Simpan sebagai audit.sh, buatlah dapat dieksekusi, dan meneruskan domain Anda sebagai argumen.

#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"

echo "Security audit for \$DOMAIN"
echo "=========================="

# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'

# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'

# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'

# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'

# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'

echo "\\nAudit complete."

Node.js dengan Botoi SDK

Jika Anda lebih suka TypeScript, itu @botoi/sdk paket menjalankan semua pemeriksaan secara paralel dengan keamanan tipe penuh.

import Botoi from "@botoi/sdk";

const botoi = new Botoi(); // no key needed for free tier

async function auditDomain(domain: string) {
  const [ssl, spf, dmarc, headers] = await Promise.all([
    botoi.sslCert.expiry({ domain }),
    botoi.dnsSecurity.spfCheck({ domain }),
    botoi.dnsSecurity.dmarcCheck({ domain }),
    botoi.headers.check({ url: \`https://\${domain}\` }),
  ]);

  const issues: string[] = [];

  if (ssl.data.days_remaining &lt; 30) {
    issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
  }
  if (!spf.data.has_spf) {
    issues.push("Missing SPF record");
  }
  if (!dmarc.data.has_dmarc) {
    issues.push("Missing DMARC record");
  }
  if (spf.data.score !== "A") {
    issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
  }

  return { domain, issues, passed: issues.length === 0 };
}

const result = await auditDomain("your-app.com");
console.log(result);

Otomatiskan dengan Tindakan GitHub

Jalankan pemeriksaan ini pada setiap dorongan ke main dan pada jadwal mingguan. Tindakan tersebut menggagalkan build ketika sertifikat SSL masih dalam waktu 14 hari setelah habis masa berlakunya atau skor SPF turun di bawah A.

name: Security Audit
on:
  schedule:
    - cron: '0 9 * * 1' # Every Monday at 9 AM
  push:
    branches: [main]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check SSL expiry
        run: |
          RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
          if [ "\$DAYS" -lt 14 ]; then
            echo "::warning::SSL certificate expires in \$DAYS days"
            exit 1
          fi

      - name: Check DNS security
        run: |
          SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          SCORE=\$(echo \$SPF | jq -r '.data.score')
          if [ "\$SCORE" != "A" ]; then
            echo "::warning::SPF score is \$SCORE, not A"
          fi

Apa yang diubah oleh Mitos untuk tim keamanan

Mythos menemukan 595 input pemicu error di korpus OSS-Fuzz, dibandingkan dengan sekitar 150 input dari Opus 4.6. Ini mengembangkan 181 eksploitasi Firefox yang berfungsi di mana Opus 4.6 mengelola 2. Anthropic memberikan $100 juta dalam API kredit dan $4 juta untuk organisasi keamanan sumber terbuka melalui Project Glasswing.

Kesimpulannya: Penemuan kerentanan berbasis AI berhasil. Skala dan kecepatannya hanya akan meningkat. Penyerang akan melakukannya mendapatkan akses ke kemampuan serupa. Pertahanan Anda tidak bisa hanya mengandalkan audit manual.

Enam pemeriksaan dalam posting ini tidak akan menemukan buffer overflow berusia 16 tahun di dependensi Anda. Tapi mereka menangkapnya kegagalan kecil yang menyebabkan insiden nyata: sertifikat kedaluwarsa, domain email yang dapat dipalsukan, keamanan hilang header, dan waktu henti senyap. Otomatiskan mereka hari ini. Perbaiki apa yang muncul kembali. Kemudian khawatirkan hal-hal yang lebih dalam.

FAQ

Apa itu Claude Mythos dan bisakah saya menggunakannya?: Pratinjau Claude Mythos adalah model AI terbaru Anthropic, diumumkan pada 7 April 2026. Model ini menemukan lebih dari 500 kerentanan dengan tingkat keparahan tinggi dalam proyek sumber terbuka seperti FFmpeg, OpenBSD, dan FreeBSD. Anthropic tidak memiliki rencana untuk rilis publik. Akses dibatasi untuk mitra Project Glasswing termasuk AWS, Apple, Google, Microsoft, Nvidia, dan CrowdStrike.
Kerentanan macam apa yang ditemukan Claude Mythos?: Mitos menemukan bug kerusakan memori, buffer overflows, stack overflows, dan kelemahan logika. Contoh penting termasuk penulisan di luar batas berusia 16 tahun dalam codec H.264 FFmpeg, bug penolakan layanan berusia 27 tahun di tumpukan TCP OpenBSD, dan kerentanan eksekusi kode jarak jauh berusia 17 tahun di FreeBSD NFS (CVE-2026-4747).
Bisakah saya memeriksa keamanan SSL dan DNS domain saya dengan API?: Ya. Kirim permintaan POST ke https://api.botoi.com/v1/ssl-cert/expiry dengan domain Anda untuk memeriksa validitas sertifikat. Gunakan /v1/dns-security/spf-check, /v1/dns-security/dmarc-check, dan /v1/dns-security/dkim-check untuk mengaudit catatan autentikasi email. Semua titik akhir berfungsi tanpa kunci API dengan kecepatan 5 permintaan per menit.
Bagaimana cara mengotomatiskan pemeriksaan keamanan di saluran CI?: Panggil titik akhir keamanan dari sistem CI mana pun menggunakan curl atau klien HTTP. Periksa masa berlaku SSL, catatan keamanan DNS, header keamanan HTTP, dan ketersediaan situs pada setiap push atau jadwal cron. Botoi API mengembalikan JSON terstruktur, sehingga Anda dapat mengurai hasil dan menggagalkan build ketika pemeriksaan mengembalikan peringatan.
Apa itu Proyek Glasswing?: Project Glasswing adalah inisiatif Anthropic yang menggunakan Claude Mythos untuk keamanan defensif. Mitranya meliputi AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks, dan Linux Foundation. Anthropic memberikan komitmen hingga $100 juta dalam bentuk kredit API dan $4 juta untuk organisasi keamanan sumber terbuka.

Mulai membangun dengan botoi

150+ endpoint API untuk pencarian, pemrosesan teks, pembuatan gambar, dan utilitas developer. Paket gratis, tanpa kartu kredit.

Lihat dokumentasi API Lihat semua alat