Gyors válasz: 2026 áprilisában az Anthropic Project Glasswing programja bebizonyította, hogy egy AI-modell (a Claude Mythos Preview) önállóan, emberi beavatkozás nélkül képes zero-day sérülékenységek ezreit megtalálni minden nagy operációs rendszerben és böngészőben — köztük egy 27 éve rejtőző OpenBSD-hibát. A támadók hamarosan ugyanezt a képességet használják. Egy magyar KKV hét konkrét lépéssel csökkentheti a kockázatát:
- szoftverleltár készítése,
- automatikus frissítések bekapcsolása,
- elavult rendszerek leváltása,
- kétfaktoros hitelesítés mindenhol,
- rendszeres, offline mentés,
- beszállítói kockázatfelmérés,
- NIS2-felkészülés.
Az alapszintű kiberbiztonsági védelem évi nagyjából 250–700 ezer forintból kiépíthető.
Évtizedeken át a kiberbiztonság versenyfutás volt — de olyan, ahol a védőknek volt idejük. Egy szoftverhiba felbukkant, valaki észrevette, a fejlesztők kiadtak egy frissítést, a cégek pedig — jó esetben — telepítették. A folyamat hetekig, hónapokig, néha évekig tartott. Ez a haladék most eltűnik.
2026 áprilisában az Anthropic — a Claude nyelvi modellek fejlesztője — bemutatta a Project Glasswing programot, és vele azt a felismerést, ami minden cégvezetőnek aggasztó: a mesterséges intelligencia már nem segédeszköz a sérülékenységek keresésében, hanem önálló, fáradhatatlan vadász. Ez a cikk nem a hírt magyarázza el még egyszer — ha arra vagy kíváncsi, olvasd el a Claude Mythos részletes elemzésünket. Itt egyetlen kérdésre keressük a választ: mit tegyen most egy magyar kis- vagy középvállalkozás?
Mi történt áprilisban — röviden, a lényeg
Az Anthropic egy Claude Mythos Preview nevű, nyilvánosan nem elérhető modellt tesztelt. A feladat egyszerű volt: keressen biztonsági réseket valós, használatban lévő szoftverekben. Az eredmény minden várakozást felülmúlt.
- A modell zero-day sérülékenységek ezreit találta meg — vagyis olyan hibákat, amelyekről a szoftver fejlesztői sem tudtak — minden nagy operációs rendszerben és böngészőben.
- Felszínre hozott egy 27 éve rejtőző hibát az OpenBSD rendszerben, és egy 16 éveset az FFmpeg videókönyvtárban — utóbbit korábban 5 millió automatizált teszt sem szúrta ki.
- Nem állt meg a felfedezésnél: négy különálló rést láncolt össze egyetlen működő támadássá, ami egyszerre törte át a böngésző és az operációs rendszer védelmi rétegét — emberi irányítás nélkül.
Az Anthropic nem véletlenül tartja zárt körben a modellt. A Project Glasswing keretében 12 alapító nagyvállalat — köztük az Amazon, az Apple, a Microsoft, a Google, a Cisco és a CrowdStrike — plusz több mint 40 további szervezet kap kontrollált hozzáférést, hogy a saját rendszereiket és az internet gerincét adó nyílt forráskódú szoftvereket még a bűnözők előtt befoltozzák. A cég 100 millió dolláros modellkreditet és 4 millió dollár közvetlen támogatást tett az asztalra.
A baljós szám viszont ez: a Mythos által talált sérülékenységeknek eddig kevesebb mint 1 százalékát javították ki. A hibakeresés felgyorsult — a javítás nem.
„A rés felfedezése és a támadó általi kihasználása közötti idő összeomlott — ami régen hónapokig tartott, az most percek alatt megtörténik az AI-jal." — a CrowdStrike technológiai vezetője
Miért sebezhetők a KKV-k az AI-kibertámadásokkal szemben
Könnyű azt gondolni, hogy ez a nagyvállalatok és a kormányok problémája. A valóság fordított. Az AI-vezérelt sérülékenység-keresés éppen a kisebb cégeket találja telibe — három okból.
1. Az elavult rendszerek mágnesként vonzzák a támadást
A Mythos a hibák jelentős részét nem a legújabb, hanem a régi, elhanyagolt szoftverekben találta. Egy 27 éves hiba nem véletlen: minél régebbi egy rendszer, annál több réteg rakódott rá, és annál kevésbé nézte át bárki. A magyar KKV-szektorban pedig pontosan ezek futnak — örökölt könyvelőprogramok, évek óta nem frissített ipari vezérlők, „még működik, ne nyúlj hozzá" típusú szerverek.
2. A támadás belépési küszöbe leesett
A Mythos maga zárt rendszer. De a biztonsági elemzők szerint a képességeinek egy része már ma reprodukálható olcsóbb, nyilvános modellekkel, ügyes promptolással. Ez azt jelenti, hogy a kibertámadáshoz korábban szükséges szaktudás ára zuhan. Egy kisvállalkozás eddig azért „úszta meg", mert nem érte meg vele foglalkozni — ez a védelem most elpárolog.
3. Nincs dedikált biztonsági csapat
Egy nagybanknak van biztonsági részlege. Egy tízfős magyar cégnél a „rendszergazda" gyakran egy külsős, aki havonta egyszer benéz. Amikor a támadási ciklus napokról percekre rövidül, ez a modell egyszerűen nem tartható. A védelemnek nem a reakcióidőre kell épülnie, hanem arra, hogy a rés be se nyíljon.
A 7 lépéses KKV kiberbiztonsági terv
A jó hír: nem kell milliókat költened, és nem kell biztonsági szakértővé válnod. A támadók többsége nem a legkifinomultabb célpontot keresi, hanem a legkönnyebbet. Ha a céged nehezebb falat, mint a szomszéd, már nyertél. Íme a hét lépés, prioritás szerinti sorrendben.
1. lépés — Készíts szoftverleltárt
Nem tudod megvédeni azt, amiről nem tudsz. Írd össze: milyen programok, operációs rendszerek és online szolgáltatások futnak a cégnél, és melyik gépen. Egy egyszerű táblázat is elég. Ez a leltár lesz minden további lépés alapja — és általában kiderül belőle, hány „elfeledett" rendszer fut csendben a háttérben.
2. lépés — Kapcsold be az automatikus frissítést mindenhol
A legtöbb sikeres támadás ismert, már befoltozott hibát használ ki — egyszerűen azért, mert a célpont nem telepítette a frissítést. Operációs rendszer, böngésző, irodai szoftver, a weboldal motorja (például WordPress és a bővítményei): mindenhol legyen bekapcsolva az automatikus frissítés. Ez ingyen van, és önmagában a kockázat nagy részét leveszi.
3. lépés — Válts le, ami már nem kap frissítést
Ha egy szoftver vagy operációs rendszer „end of life" — vagyis a gyártó már nem ad ki hozzá biztonsági javítást —, az nyitott ajtó. A leltárból derüljön ki, mi ilyen, és tervezz cserét. Ez a lépés kerül a legtöbbe, és a leghalogatottabb is. Egy AI-korszakban viszont egy nem támogatott rendszer már nem kockázat, hanem garantált rés.
4. lépés — Kétfaktoros hitelesítés, kivétel nélkül
Ha egy jelszó kiszivárog, a kétfaktoros hitelesítés (2FA/MFA) a második zár. E-mail, banki belépés, felhős tárhely, céges közösségimédia-fiók: mindenhol kapcsold be. A legtöbb szolgáltatásnál ez ingyenes, és pár perc beállítani. Egyetlen kivétel se maradjon — a leggyengébb láncszem dönt.
5. lépés — Ments rendszeresen, és tarts offline másolatot
A zsarolóvírus akkor okoz végzetes kárt, ha nincs honnan visszaállni. A bevált szabály a 3-2-1: 3 másolat, 2 különböző adathordozón, 1 a telephelyen kívül vagy offline. A felhős mentés mellé tarts egy fizikai meghajtót is, amit a mentés után lecsatlakoztatsz — amit a támadó nem ér el, azt nem tudja titkosítani.
6. lépés — Mérd fel a beszállítóid kockázatát
A céged annyira biztonságos, mint a leggyengébb partnere. A könyvelőd, a webfejlesztőd, a CRM-szolgáltatód — mindegyikük hozzáfér valamilyen adatodhoz. Kérdezd meg tőlük: van-e kétfaktoros hitelesítés, hogyan kezelik az incidenseket, milyen gyakran frissítenek. Egy rövid e-mail is sokat elárul. A Glasswing maga is azért épült, mert a támadás jellemzően a beszállítói láncon át terjed.
7. lépés — Kezdd el a NIS2-felkészülést
A NIS2 uniós kiberbiztonsági irányelv Magyarországon már hatályos, és nemcsak a nagy szervezeteket érinti, hanem azok beszállítóit is. Ha bármilyen ellátási láncban beszállító vagy, jó eséllyel rád is vonatkoznak elvárások. Nézd meg, érintett-e a céged, és ha igen, kezdd el a kötelező kockázatkezelési és incidenskezelési dokumentáció összeállítását. Az uniós szabályozás KKV-kra gyakorolt hatásáról az EU AI Act és a magyar kisvállalkozások cikkünkben írtunk bővebben.
Mennyibe kerül a KKV kiberbiztonság?
A leggyakoribb kifogás, hogy „erre nincs keret". Nézzük meg konkrétan. Az alábbi táblázat egy 5–25 fős magyar KKV becsült költségeit mutatja — a számok tájékoztató jellegűek, és a cégmérettől, valamint a meglévő rendszerektől függően változnak.
| Lépés | Megoldás | Becsült éves költség |
|---|---|---|
| 1. Szoftverleltár | Belső munka, ingyenes sablon | 0 Ft (idő) |
| 2. Automatikus frissítés | Beépített funkció | 0 Ft |
| 3. Elavult rendszer leváltása | Eseti csere, erősen változó | 0–500 000 Ft (egyszeri) |
| 4. Kétfaktoros hitelesítés | Ingyenes app, opcionális hardverkulcs | 0–60 000 Ft |
| 5. Mentés (3-2-1) | Felhős backup + offline meghajtó | 30 000–120 000 Ft |
| 6. Beszállítói kockázatfelmérés | Belső munka, kérdőív | 0–80 000 Ft |
| 7. NIS2-felkészülés | Tanácsadás, dokumentáció | 150 000–400 000 Ft |
| Összesen (alapszint) | kb. 250 000–700 000 Ft / év |
Vesd ezt össze egyetlen sikeres zsarolóvírus-támadás árával: az adatvesztés, a leállás, az elveszített ügyfélbizalom és — a NIS2 hatálya alatt — a bírság együtt könnyen milliós, akár tízmilliós nagyságrend. A védekezés nem költség, hanem a legjobb megtérülésű biztosítás, amit a céged köthet.
Mit NE csinálj — három gyakori hiba
- Ne várj a „majd ráérünk" alapon. A támadási ciklus már percekben mérődik. A halogatás a régi világ luxusa volt.
- Ne hidd, hogy túl kicsi vagy ahhoz, hogy célpont legyél. Az automatizált, AI-támogatott támadás nem válogat — a teljes internetet pásztázza, és a könnyű prédát keresi.
- Ne bízz vakon egyetlen eszközben. Nincs „egy gomb, és biztonságos vagy" termék. A védelem rétegekből áll — a hét lépés is ezért hét, nem egy.
A lényeg
A Project Glasswing nem a végítélet — épp ellenkezőleg, a célja a védők megerősítése. De egy üzenetet tisztán hordoz: a kiberbiztonságban véget ért a haladék korszaka. Az a cég, amelyik még mindig évi egy „majd megnézzük" alapon kezeli az IT-biztonságot, 2026-ban nyitott kapukkal üzemel.
A jó hír, hogy a hét lépés nagy részéhez nem kell se nagy büdzsé, se szakértői csapat — csak elhatározás és pár nap munka. A céged biztonsága ma este, a szoftverleltár első sorával elkezdődhet.
Bizonytalan vagy, hol áll a céged? A SocialPro segít felmérni a digitális kitettségedet és összeállítani a céged méretére szabott védekezési és NIS2-felkészülési tervet. Kérj ingyenes konzultációt — átnézzük a hét lépést együtt.
