Da Anthropic i april annoncerede Project Glasswing og den medfølgende model Claude Mythos Preview, var budskabet klart: dette er en AI med cybersikkerhedskapabiliteter der er for farlige til fri adgang. Mythos kan selvstændigt identificere zero-day-sårbarheder i alle store styresystemer og browsere, kæde dem sammen og udnytte dem, uden menneskelig vejledning.
Det problematiske er ikke selve beslutningen om at begrænse adgangen. Det er hvem der får adgang, og hvem der ikke gør. Og svaret er bemærkelsesværdigt ensidigt: EU-lande er stort set lukket ude.
50 organisationer, ingen fra EU
Mythos er kun tilgængeligt for ca. 50 udvalgte organisationer. Listen domineres af amerikanske tech-giganter: Amazon Web Services, Apple, Microsoft, Google, Cisco, CrowdStrike, NVIDIA, JPMorgan Chase og Palo Alto Networks. Dertil kommer Linux Foundation. Anthropic briefede desuden Trump-administrationen om modellens kapabiliteter som et nationalt sikkerhedsanliggende, og det Hvide Hus er ifølge Axios i aktive forhandlinger om statslig adgang.
I EU er det gået anderledes. Tysklands nationale cybersikkerhedsmyndighed BSI er ifølge CSO Online “i aktiv dialog” med Anthropic, men har endnu ikke opnået testadgang. Det er den mest fremskredne europæiske position. Danmark, Frankrig, Holland, Sverige og de øvrige EU-lande er slet ikke nævnt. Det britiske AI Security Institute har fået adgang, men UK er som bekendt ikke længere en del af EU.
Tysklands øverste cybersikkerhedsembedsmand Claudia Plattner formulerede det direkte: det er “presserende” at afklare, om et værktøj af “så ekstraordinær styrke” vil være tilgængeligt på det åbne marked, og hvad konsekvenserne er for “national og europæisk sikkerhed og suverænitet.”
AI Act-paradokset: Regulering som adgangsbarriere
Her opstår en ubehagelig ironi. EU’s AI Act, der officielt trådte i kraft i 2024 og gradvist implementeres, er designet til at sikre sikkerhed og gennemsigtighed. Under loven vil Mythos med stor sandsynlighed klassificeres som en “systemisk risiko”-model, hvilket udløser krav om risikovurderinger, auditering og transparensforpligtelser.
Resultatet er paradoksalt: jo stærkere EU’s AI-regulering er, jo sværere bliver det for et selskab som Anthropic at operere i EU med grænse-kapabiliteter. Det betyder ikke at reguleringen er forkert, men det betyder at den utilsigtet kan skubbe de mest avancerede modeller væk fra det europæiske marked og over i en de facto USA-only-zone.
Yoshua Bengio, en af pionererne bag moderne deep learning, kaldte det “dybt bekymrende” at det er teknologiselskaber og ikke regulatorer der beslutter, hvordan risici ved sådanne modeller håndteres. Det er præcis den dynamik der udspiller sig her: Anthropic definerer selv hvad “sikker adgang” betyder, og europæiske myndigheder står uden for døren.
Hvad europæiske sikkerhedsfolk faktisk mister
For at forstå konsekvenserne er det vigtigt at fastslå, hvad Mythos reelt kan. I intern testning identificerede Anthropic tusindvis af kritiske sårbarheder, hvoraf 99 pct. var ukendte og ubeskyttede på annonceringstidspunktet. Modellen kan ikke blot finde huller, den kan rekonstruere kildekode fra lukkede binære filer og identificere sårbarheder der har eksisteret i op til 27 år.
Antropics intention med Project Glasswing er defensiv: partnere tilbydes over 100 millioner dollars i API-credits til at finde og lukke sårbarheder i egne systemer, inden de udnyttes offensivt. Det er en legitim tilgang. Men det efterlader europæiske virksomheder og myndigheder i en asymmetrisk position: deres amerikanske konkurrenter og samarbejdspartnere har adgang til et sikkerhedsværktøj, de ikke har.
Daniel Privitera fra den Berlin-baserede AI-nonprofit KIRA formulerede problemet præcist: “Europa har i øjeblikket ingen plan for at sikre adgang” til disse kapabiliteter. Det er “en forsmag på hvor kritisk adgang vil være.”
Et geopolitisk valg, ikke kun et teknisk
Det ville være naivt at behandle Mythos-eksklusionen som udelukkende et spørgsmål om sikkerhed og compliance. Den hurtige involvering af Trump-administrationen, framing af modellen som et nationalt sikkerhedsaktiv og den målrettede adgang til amerikanske tech-giganter er tegn på en bevidst geopolitisk positionering.
AI-kapabiliteter på Mythos-niveau er i færd med at blive behandlet som strategiske ressourcer, ikke blot teknologiprodukter. Det er den samme logik der driver USA’s eksportkontroller på avancerede chips til Kina. Europa er ikke eksplicit blacklistet på samme måde, men effekten er beslægtet: adgang bestemmes af nærhed til det amerikanske sikkerhedsapparat, ikke af teknisk modenhed eller legitime behov.
For europæiske IT-chefer, sikkerhedschefer og politikere er konklusionen ubehagelig: i det scenarie hvor AI-kapabiliteter på Mythos-niveau bliver afgørende for forsvar mod sofistikerede cyberangreb, er EU afhængig af at USA vælger at dele. Det er ikke en holdbar position for en region der ellers er optaget af strategisk autonomi.
Marietje Schaake, der som europæisk parlamentsmedlem bidrog til at forme EU’s AI Code of Practice, efterlyser konkrete oplysningskrav og tilsynsmekanismer. Det er rimelige krav. Men de løser ikke det grundlæggende problem: Europa har ikke de modeller der matches, og der er ingen tegn på at det ændrer sig inden for de næste år.
Kilder
- How Anthropic Discovered Mythos AI Was Too Dangerous For Release – Bloomberg, april 2026
- EU regulators largely denied access to Anthropic Mythos – CSO Online, april 2026
- Claude Mythos is a wake-up call for Europe’s AI safety apparatus – The Decoder, april 2026
- Trump officials negotiating access to Anthropic’s Mythos despite blacklist – Axios, april 2026
- Six Reasons Claude Mythos Is an Inflection Point for AI and Global Security – Council on Foreign Relations, april 2026
- Project Glasswing – Anthropic
