Americká vláda nařídila firmě Anthropic vypnout dva nejpokročilejší modely umělé inteligence na světě. Důvodem je schopnost, kterou se obor donedávna chlubil: umět samostatně programovat. A nově i samostatně hackovat.
V pátek 13. června v 17.21 washingtonského času dorazil do kalifornské laboratoře firmy Anthropic dopis. „Napsal“ jej ministr průmyslu a obchodu Howard Lutnick a adresoval ho přímo řediteli Anthropicu Dariu Amodeiovi. Stálo v něm, že firma nesmí poskytovat své nejvýkonnější modely Mythos 5 a Fable 5 nikomu, kdo není občanem Spojených států, ať je kdekoli na světě a ať pracují pro kohokoli, tedy ani cizincům zaměstnaným přímo v Anthropicu.
Protože firma podle vlastního vyjádření neumí uživatele třídit podle státní příslušnosti, musela během několika hodin oba modely deaktivovat úplně, pro všechny zákazníky, tedy i pro Američany. Šlo o vůbec první případ, kdy americká vláda zpětně stáhla z trhu komerčně dostupný model umělé inteligence (AI). V době uzávěrky tohoto vydání zůstávaly oba modely vypnuté, zatímco jednání mezi firmou a úřady pokračovala.
Aby bylo zřejmé, proč jedna technologie vyvolala takový zásah, je třeba se zastavit, připomenout si a doplnit, co tyto modely vlastně dokážou.
Od bugu k exploitu
V roce 1947 odhalila matematička Grace Hopperová, proč jeden z reléových obvodů počítače Mark II nedával očekávané výsledky. Zalezl do něj mol. Hopperová ho přilepila do deníku s poznámkou, že jde o první nalezený případ „hmyzu“, anglicky bug. Tak se zrodil pojem debugging, tedy hledání a odstraňování chyb z kódu, práce, kterou programátoři obvykle nesnášejí a rádi by ji přenechali někomu jinému.
Bug je jakákoli chyba v kódu, klidně jen špatně zarovnané tlačítko. Pokud ji ale lze využít k obejití pravidel, mluvíme o zranitelnosti. Čím složitější software je, tím spíš nějaké zranitelnosti obsahuje, a velké firmy proto zaměstnávají celé týmy, které je hledají, a vyplácejí odměny komukoli, kdo díru najde a popíše. Nalezenou zranitelnost přitom může její objevitel buď nahlásit výrobci, nebo prodat na černém trhu hackerským skupinám a tajným službám, které si zásobu neodhalených děr schovávají pro budoucí útoky.
Do roku 2025 platila umělá inteligence v bezpečnostních kruzích hlavně za zdroj nových chyb. Lidé, kteří nikdy neprogramovali, pouštěli na web jednu narychlo vygenerovanou aplikaci za druhou, plnou školáckých přešlapů. Koncem roku se ale modely zlepšily natolik, že dokázaly chyby nejen vyrábět, ale i aktivně nacházet. Únorový Claude Opus 4.6, donedávna nejsilnější model Anthropicu, našel zranitelnost, která se v jádře operačního systému Linux skrývala 23 let. Výzkumník Anthropicu Nicholas Carlini přitom upozornil, že starší modely při téže úloze neobjevily takřka nic, a křivka schopností v hledání chyb roste podobně strmě jako kdysi výkon procesorů.
Mythos jde o krok dál, a právě tento krok je podstatný. Model totiž neumí zranitelnost jen najít. Dokáže k ní vytvořit funkční exploit, tedy kód, který chybu skutečně zneužije, a hlavně umí několik dílčích zranitelností zřetězit. Každá z nich by útočníkovi sama o sobě mnoho nepřinesla, jejich spojením ovšem model sestaví sofistikovaný útok. To není jen lepší skóre v testu, ale posun do jiné kategorie.
Co Mythos dokázal
Jak velký ten posun je, naznačují čísla z firemní dokumentace. Je ovšem nutné dodat, že je nelze nezávisle ověřit, protože samotný model Mythos veřejnosti k dispozici není. V testu, který měří schopnost prolomit prohlížeč Firefox verze 147, uspěl Opus 4.6 v 0,8 % případů, zatímco Mythos Preview v 72,4 %. V kyberbezpečnostním měřítku CyberGym se posunul z hodnoty 0,67 na 0,83. A simulovaný útok na firemní síť, který by zkušenému odborníkovi zabral odhadem přes 10 hodin, Mythos vyřešil jako vůbec první model, jaký kdy firma hodnotila.
Za suchými čísly se skrývá jedna nepříjemná nesymetrie. Zneužít zranitelnost je téměř vždy rychlejší než ji opravit. Útočníkovi stačí jediná funkční díra, obránce musí zacelit všechny. Doposud držela tuto bitvu v rovnováze hlavně vzácnost schopností: najít a zřetězit zranitelnosti uměla jen hrstka špičkových expertů, jejichž čas je drahý a kapacita omezená. Model, který totéž zvládne v řádu minut a v libovolném počtu kopií, tuto vzácnost ruší.
Elia Zaitsev, technologický šéf firmy CrowdStrike, jejíž odborníci k Mythosu předběžný přístup dostali, popsal, že okno mezi odhalením zranitelnosti a jejím zneužitím se zkrátilo z měsíců na minuty. Tentýž nástroj přitom slouží oběma stranám, jenže každé jinak silně.
Obrana z něj skutečně těží. Nadace Mozilla pomocí Mythosu zazáplatovala v dubnu 271 bezpečnostních děr, o řád víc, než bývalo zvykem. Zástupci Cisca mluví o tom, že dokážou hledat a opravovat trhliny v dříve nemyslitelném tempu a rozsahu. Z téže lahvičky ovšem teče jed i protijed. Co v rukou bezpečnostního týmu opravuje, může v jiných rukou bořit, a využívání zranitelností je rychlejší než jejich oprava.
Právě proto Anthropic s nejmocnější verzí modelu zacházel opatrně už od jara. Dubnovou variantu Mythos Preview nepustil ven vůbec a zpřístupnil ji jen úzké skupině prověřených firem, mezi něž patří Cisco, Microsoft, Google nebo CrowdStrike, v rámci programu nazvaného Project Glasswing. Teprve 9. června vydal pro veřejnost osekanou verzi Fable 5, vybavenou klasifikátory, které se aktivují, jakmile rozpoznají témata spojená s kyberbezpečností, biologií, chemií nebo s pokusy vytrénovat konkurenční model. O tři dny později přišel zákaz.
Co přesně vládě vadí, zůstává předmětem sporu, v němž obě strany líčí situaci odlišně. Podle serveru Axios upozornila úřady soukromá firma, podle všeho Amazon, že zabezpečení Mythosu lze obejít. Anthropic to považuje za nedorozumění. Tvrdí, že šlo o úzce zaměřený jailbreak, tedy obejití pojistek, který nedokáže nic, co by nezvládly i konkurenční modely včetně GPT-5.5 od OpenAI, a že vláda doložila své obavy jen ústně. Klíčový technický detail celého sporu zní málem banálně: obejití podle firmy v jádru spočívá v tom, že se modelu zadá přečíst konkrétní zdrojový kód a opravit v něm chyby, tedy přesně to, co bezpečnostní experti dělají denně.
Skalpel, nebo kladivo
Spor ovšem nestojí jen na technických faktech. Zdroje serveru Axios z okolí administrativy popisují, že Anthropic dlouhodobě „neumí mluvit jazykem“ Bílého domu a že část konfliktu plyne z čistě osobních neshod. Není to první střet. Už na jaře odmítla firma škrtnout ze smlouvy s Pentagonem pojistky proti nasazení autonomní AI v boji a proti plošnému sledování, načež ji ministerstvo označilo za „riziko dodavatelského řetězce“ a prezident Donald Trump o jejích lidech napsal na sociální síti jako o „levičáckých cvocích“.
Optika tentokrát situaci ještě přiostřila. Anthropic vydal blogový příspěvek, který hlášení o zranitelnosti zlehčoval, a přizval bezpečnostního experta, jehož administrativa vnímá jako „radikálního demokrata“. Jeden z činitelů to shrnul tak, že firma došla ke každé křižovatce a pokaždé odbočila špatně. Když se k technologii, která běží rychleji, než ji stát stíhá chápat, přidají osobní antipatie, snadno se místo skalpelu sáhne po kladivu. Plošný zákaz exportu je přesně takové kladivo. Osobní rozměr sporu v případě této americké administrativy hraje větší roli, než jsme zvyklí.
Například politoložka Stacie Goddardová z Wellesley College a politolog Abraham Newman z Georgetownské univerzity pro pochopení Trumpovy politiky nabízejí rámec, který nazývají neoroyalismem. Klíčovým aktérem v něm nejsou státy s jejich institucemi a procesy, ale úzké kliky kolem vládce, a politika se neměří bezpečností ani blahobytem, nýbrž tributem a poklonami. Ostatní hráči, firmy i celé země, platí za přízeň a soupeří v tom, kdo vládce pochválí okázaleji. Kdo odmítne, zaplatí.
Žádný analytický rámec nevysvětlí složité rozhodnutí beze zbytku a ani neoroyalismus si na to nečiní nárok. Aparáty velikosti americké vlády, stejně jako ostatně jednotlivci, jednají málokdy z jediné pohnutky, a bezpečnostní obavy z modelu, který umí samostatně hackovat, jsou věcně oprávněné bez ohledu na to, kdo s kým vychází. Přesto je nápadné, jak přesně kauza Anthropic do onoho rámce zapadá. Firma odmítla obojí, co model odměňuje: nepřinesla dar ani poklonu. Naopak veřejně zlehčila vládní hlášení a postavila vedle sebe odborníka, který je v Bílém domě vnímán jako protivník.
V čistě institucionálním modelu by se na nález úzkého jailbreaku odpovědělo úzkým opatřením. V modelu, kde rozhoduje i osobní přízeň, dostane firma, která se neklaní, plošné kladivo. A předehrou nebyl ojedinělý incident: týž vzorec se opakoval už ve sporu s Pentagonem, kde Anthropic znovu nesplnil, co se od něj žádalo, a znovu si vysloužil tvrdou odvetu.
U technologie, jejíž osud čím dál víc závisí na regulaci, tedy nestačí sledovat jen schopnosti modelů a bezpečnostní testy. Je třeba sledovat i sítě osobních vztahů a to, kdo se komu zavděčil. O tom, který nástroj bude dostupný a který zmizí z internetu přes noc, totiž může spolurozhodovat i odpověď na prostou otázku: Komu to prospěje?
A co ty další?
Zákaz vlastního modelu ovšem chrání jen do chvíle, kdy je tento model svého druhu jediný. A to je v případě AI s velkou pravděpodobností stav nanejvýš dočasný. Čínská společnost Z.ai ohlásila právě 15. června nový otevřený model GLM-5.2 a zákaz Fable rovnou použila jako argument, že na americké modely se zahraniční zákazník nemůže spolehnout. Akcie spřízněné firmy Zhipu v reakci vyskočily o třetinu.
Otázka, kterou tu lze jen položit, zní: Co udělá Washington, až některý volně stažitelný čínský model dožene Mythos? Embargo na domácí produkt pak přestane chránit a začne jen svazovat americké firmy, zatímco čínská obdoba poteče světem dál. Tuto úvahu je třeba vyvážit i druhou stranou mince. Provoz čínského modelu přes tamní rozhraní podléhá čínskému zákonu o národním zpravodajství, takže i ona „svoboda“ má svou cenu, jen jinou.
Celá epizoda má i hořce ironický rozměr. Den po vydání Fable zveřejnil Dario Amodei esej, v níž volal po tom, aby vláda měla zákonnou pravomoc zablokovat nebezpečné nasazení AI, podobně jako letecký úřad uzemní letadlo, které neprošlo bezpečnostními testy. O dva dny později vláda takovou pravomoc použila, jenže způsobem, který Anthropic kritizuje jako netransparentní a unáhlený.
Firma tak nedostala regulaci, po níž volala, ale tu, které se obávala. Zda jde o první krok k promyšlenějšímu dohledu nad nejmocnějšími modely, nebo o ukázku bezradnosti, zatím říci nelze. Jisté je jen jedno: o přístupu k čelu umělé inteligence už nerozhoduje zdaleka jen cena, kterou jste ochotni zaplatit, státy a geopolitika.