Cyberbezpieczeństwo w niebezpieczeństwie

Data: 2026-04-15 | Czas_czytania: ~13 min | Kategoria: /technologia
#Cyberbezpieczeństwo#AI#SaaS#Anthropic#Claude#Mythos

Cyberbezpieczeństwo - grafika głowna

> TL;DR
  • Mythos zmienia symetrię ofensywy i defensywy, ale nie dla wszystkich jednakowo
  • Rynek ukarał mocniej właśnie te spółki, które mają największe szanse na nim skorzystać
  • Zscaler ma realny problem strukturalny
  • Zasady gry zmienili nie tylko Anthropic, ale też ubezpieczyciele

Co się właściwie stało?

26 marca 2026 roku wyciek specyfikacji Claude Mythos wymazał kilkadziesiąt miliardów dolarów kapitalizacji sektora cybersec w ciągu kilku sesji. ETF CIBR, który przed wyciekiem był już 12% poniżej początku roku, osunął się w kolejnych sesjach do rocznych minimów — okolice 60 dolarów wobec listopadowego szczytu powyżej 78 dolarów. Szeroki rynek w tym samym czasie zjechał o 3,4%.

Przecena była częściowo uzasadniona. Ale rynek ukarał dokładnie te firmy, które na Mythosie zyskają najbardziej i pobłażliwie potraktował jedyną, której naprawdę grozi erozja modelu biznesowego.

Trzy warstwy stosu bezpieczeństwa

W korporacyjnym cybersec nie ma jednego wielkiego muru. Są trzy zupełnie różne warstwy i każda z nich reaguje na Mythosa po swojemu. To rozróżnienie jest kluczowe — bez niego werdykty na spółki nie mają żadnego fundamentu.

  1. Twarda infrastruktura krytyczna. Firewalle, reguły SIEM, polityki IAM, certyfikaty PKI. Tu wszystko działa na zero-jedynkowych zasadach. Zapora albo wpuszcza pakiet, albo go blokuje. Nie ma “99% pewności że jest złośliwy”. Mythos nie osłabia tej warstwy, lecz wzmacnia ją. Im więcej podatności model ofensywny potrafi znaleźć, tym bardziej potrzebna jest solidna infrastruktura.

  2. Centrum operacji bezpieczeństwa. Podnoszenie alertów, śledzenie niebezpieczeństw, wykrywanie korelacji, ustalanie reguł detekcji. Praca analityczna to dokładnie ta praca, którą LLM wykonuje sprawnie. CrowdStrike dzięki dostępowi przez Glasswing może Mythosem zastąpić sporą część pracy analityków L1 i L2. Koszty operacyjne spadają, marże rosną.

  3. Gra na bycie szybszym. Produkty, których wartość opierała się na wykryciu zagrożenia zanim atakujący je skończy budować. Gdy atakujący dostaje Mythosa, ta przewaga czasowa wyparowuje. Największe ryzyko dla firm budujących biznes wyłącznie na szybkości detekcji, bez efektu sieciowego danych i bez głębokiej platformy.

To właśnie ta taksonomia wyjaśnia, dlaczego PANW trzymał wycenę w trakcie paniki, a Zscaler nie — do tego za chwilę.

Claude Mythos — fakty i mithy

Najpierw fakty.

  • Fakt 1: Podatności, których nie znalazły dekady code review

    Zero-day w OpenBSD i FFmpeg — Mythos znalazł je autonomicznie, działając przez noc. To potwierdza zarówno wewnętrzny red team Anthropic, jak i niezależna ewaluacja AISI. CrowdStrike Global Threat Report 2026 dokumentuje 29-minutowy średni czas “breakout” cyberprzestępców — o 65% szybciej niż rok wcześniej, przy 89-procentowym wzroście liczby ataków wspomaganych AI rok do roku. Mythos ten trend akceleruje.

  • Fakt 2: Benchmarki i duży skok naprzód

    Na SWE-bench model osiągnął 93,9%, na olimpiadzie matematycznej USAMO — 97,6% (poprzedni lider: 42,3%). Na zadaniach CTF poziomu eksperckiego, których żaden model nie rozwiązywał przed kwietniem 2025, skuteczność Mythosa wynosi 73%. To nie jest krok naprzód — to zmiana rzędu wielkości.

  • Fakt 3: Pełna autonomiczna penetracja sieci korporacyjnej

    AISI zbudował scenariusz “The Last Ones” — 32-krokową symulację przejęcia sieci korporacyjnej. Mythos ukończył ją w 3 z 10 prób. Claude Opus 4.6, poprzedni lider, dochodził średnio do 22. kroku i nigdy nie dotarł do finału. Wyszkolony specjalista ds. bezpieczeństwa potrzebuje na to samo zadanie około 20 godzin.

  • Fakt 4: Granice modelu

    AISI zaznacza wprost, że “nie możemy stwierdzić z pewnością, czy Mythos Preview byłby w stanie zaatakować dobrze chronione systemy.” Przewaga ujawnia się w wieloetapowych łańcuchach — tam, gdzie trzeba utrzymać kontekst przez dziesiątki kroków bez podpowiedzi człowieka. W izolowanych, jednoetapowych zadaniach różnica wobec konkurencji jest mniejsza.

  • Fakt 5: Dostęp jest ograniczony i kontrolowany

    Projekt Glasswing: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Microsoft, NVIDIA. Anthropic przekazał 100 mln USD w kredytach obliczeniowych i zastrzegł wyłącznie defensywne użycie. Model nie jest dostępny publicznie. A teraz mity, które narosły wokół tych faktów.

Mit 1: Mythos to koniec cyberbezpieczeństwa

Model nie rozbija całego stosu. Wzmacnia deterministyczną infrastrukturę sieciową, a problemy stwarza tylko wybranym punktowym rozwiązaniom opartym na przewadze czasowej. To co najwyżej polaryzacja sektora, nie jego koniec.

Mit 2: AI ofensywne zawsze wygra z defensywnym

Powtarzane często, ale to grube uproszczenie. Mythos dominuje w długich, wieloetapowych atakach, ma swoje limity w izolowanych zadaniach — i defensywa z dostępem do podobnych modeli też nie stoi w miejscu. Partnerzy Glasswing budują analogiczne zdolności po stronie obrony.

Mit 3: Wszystkie spółki cybersec polecą na dno*

Rynek tak zareagował w marcu to klasyczna nadreakcja bez rozróżnienia spółek i potraktowania ich koszykowo.. Po kilku tygodniach widać już, kto ma realny problem strukturalny, a kto dostał nieuzasadnioną przecenę.

Koniec taniej obrony SaaS

Jest jeden argument, w którym rynek miał rację — tyle że wyciągnął z niego złe wnioski.

Klasyczny model SaaS w cybersec: napisz kod raz, sprzedaj milion razy, utrzymaj 70–80% marży brutto. Defensywa oparta na AI niszczy to równanie strukturalnie. Żeby zablokować autonomiczny atak, infrastruktura obronna musi uruchamiać własną inferencję w czasie rzeczywistym — i spalać podobną ilość mocy obliczeniowej co atakujący.

Skala tego problemu jest mierzalna. Raport ICONIQ 2026 State of AI pokazuje, że budowniczowie produktów AI, a cybersec coraz bardziej należy do tej kategorii, oczekują średnich marż brutto na poziomie 52% w 2026 roku, wobec historycznych 70–80% dla klasycznego SaaS. Mechanizm jest prosty: jeśli do każdego 100 dolarów przychodu dochodzi 15 dolarów kosztów inferencji, chmury i routingu AI, marża brutto spada z 80% do 65% zanim jeszcze zacznie się rozmowa o sprzedaży i marketingu.

To realny problem — ale nie dotyczy wszystkich jednakowo. CRWD w FY2026 utrzymał non-GAAP marżę subskrypcyjną na poziomie 81% i poprawił ją o punkt procentowy rok do roku. Powód: platforma z 8+ modułami u jednego klienta rozkłada koszty GPU przez wiele warstw produktu. Firma z jednym rozwiązaniem punktowym nie ma tej opcji. Rynek powinien był tę różnicę wycenić. Nie wycenił.

”Nieludzkie tożsamości”, czyli dlaczego Okta dostała mocniej niż Palo Alto

Okta i SailPoint spadły mocniej niż CrowdStrike czy Palo Alto. Większość komentarzy to zignorowała, choć nie powinna.

Systemy zarządzania tożsamością projektowano dla ludzi logujących się o 8:00 do intranetu. Dziś w chmurze żyją miliony mikrousług, skryptów CI/CD i agentów AI, które autoryzują się, pobierają dane i kończą działanie w kilka milisekund. Te nieludzkie tożsamości (NHI — Non-Human Identities) są słabo opisane w tradycyjnych modelach IAM, słabo monitorowane i słabo chronione. Mythos pokazał, że potrafi rozbić te mechanizmy bez większego wysiłku.

To jest realny sygnał problemów z obecnymi produktami IAM, ale jednocześnie realna szansa dla firm, które zbudują nowe podejście do autoryzacji maszyna-maszyna. Pytanie, czy Okta to zrobi, czy ktoś ją w tym wyprzedzi. Rynek wycenił to jak zagrożenie egzystencjalne. W rzeczywistości to sygnał o konieczności pivotu produktowego.

Ubezpieczyciele — cichy bohater

Allianz i Munich Re od 2023 roku przestały wystawiać polisy cybernetyczne bez weryfikacji stosu technologicznego klienta. Konkretnie: brak certyfikowanego produktu klasy XDR od kwalifikowanego dostawcy = brak polisy na szkody po ataku ransomware.

Dla dyrektora IT to koniec negocjacji cenowych. Ubezpieczyciel wystawia listę zatwierdzonych dostawców. Dział zakupów realizuje przelew. Mythos ten mechanizm tylko wzmocnił — rosną obawy o ataki, rośnie popyt na polisy, rosną wymagania ubezpieczycieli. Firmy z certyfikacją na tych listach — CRWD, PANW, SentinelOne (o której za chwilę) — mają de facto gwarantowany popyt bez wydatku na sprzedaż. Ta dynamika całkowicie zniknęła z rynkowej narracji po wycieku Mythosa.

Analiza poszczególnych spółek

Zscaler (ZS) — realny problem strukturalny

Zscaler buduje na architekturze zero-trust proxy: cały ruch użytkownika przechodzi przez chmurę Zscalera, która go inspekcjonuje. Problem polega na tym, że ta architektura zakłada ruch generowany przez ludzi. Gdy atakiem steruje autonomiczny agent, który generuje setki jednoczesnych sesji z dynamicznie zmieniającymi się sygnaturami, tradycyjna inspekcja proxy traci przewagę. Zscaler to widzi — stąd akwizycje w segmencie AI detection — ale produkt nie jest jeszcze tam, gdzie musi być.

Zjazd z 50x do 6x EV/Sales zawiera w sobie realną zmianę oczekiwań, nie tylko panikę. To jest jedyna spółka w tym zestawieniu, gdzie pesymizm rynku ma solidne fundamentalne uzasadnienie.

Palo Alto Networks (PANW) — rynek nie podał powodów

PANW utrzymał ~12x EV/Sales podczas gdy reszta sektora się sypała. Komentatorzy tłumaczyli to “lojalnością klientów” i “lepkim ekosystemem”. To prawda, ale nie to jest kluczowe.

PANW siedzi głównie w warstwie pierwszej (deterministycznej). Ich produkty sieciowe i firewalle nowej generacji działają na twardych regułach. Mythos nie kasuje tej potrzeby — wręcz ją napędza, bo każda nowa podatność znaleziona przez model ofensywny musi zostać zablokowana przez infrastrukturę sieciową. Do tego PANW jest na liście Glasswing i będzie jednym z beneficjentów dostępu do Mythosa w inspekcji ruchu.

Stabilna wycena była uzasadniona. Przypadkowo trafiła w poprawną odpowiedź z błędnym uzasadnieniem.

CrowdStrike (CRWD)

To jest najbardziej czytelny błąd rynkowy w tym zestawieniu.

CRWD zaraportował przed przeceną 5,25 mld USD ARR (wzrost 24% r/r) i wygenerował 1,3 mld USD wolnej gotówki (FCF) w FY2026. To jest rentowny, rosnący biznes z twardymi danymi. Jednocześnie firma jest partnerem założycielskim Glasswing — ma dostęp do Mythosa i może nim optymalizować własny SOC, obniżając koszty pracy analitycznej.

Rynek sprzedał akcje firmy, która właśnie dostała narzędzie zdolne podnieść marże operacyjne w kolejnych kwartałach. Efekty pojawią się w raportach za Q2 i Q3 2026.

Rubrik (RBRK) — dolna warstwa

Rubrik zakończył rok fiskalny 2026 z ARR na poziomie 1,46 mld USD (+34% r/r) i wygenerował 238 mln USD wolnej gotówki — ponad dziesięciokrotnie więcej niż rok wcześniej. Spółka jest GAAP-ujemna, ale kierunek jest jednoznaczny.

Rubrik nie siedzi w żadnej z trzech warstw opisanych wcześniej, ale pod nimi. Ich produkt zakłada z góry, że każda z tych warstw prędzej czy później zawiedzie. CEO Bipul Sinha napisał wprost w liście do akcjonariuszy: “model prewencji i detekcji umarł.” To nie jest slogan, a opis architektury ich produktu. Rubrik Security Cloud buduje niezmienne kopie zapasowe i automatyzuje odtwarzanie po ataku. Jeśli ransomware przejdzie przez CRWD, przez PANW i przez Zscalera, Rubrik jest tym, co sprawia, że korporacja wraca do pracy w godzinach, nie tygodniach.

Mythos nie osłabia tej propozycji wartości, a wzmacnia ją. Szybszy, bardziej autonomiczny atakujący to bezpośredni argument za tym, że ostatnia linia obrony musi być solidniejsza. Rubrik nie jest na liście Glasswing. Podczas paniki stracił razem z sektorem. Rynek potraktował go jak kolejną firmę cybersec pod presją AI — ignorując, że jego model biznesowy jest odpowiedzią na dokładnie ten scenariusz, który wywołał panikę.

Tenable (TENB)

Tenable robi tzw. vulnerability management, czyli priorytetyzuje, śledzi i łata podatności. Podczas wyprzedaży spadł o 9% razem z całym sektorem. Tymczasem ich produkt staje się bardziej potrzebny, nie mniej: jeśli Mythos generuje tysiące raportów o zero-dayach, ktoś musi zarządzać tym potokiem po stronie defensywnej. Tenable to ta warstwa.

Liczby za Q1 2026 potwierdzają: przychody 262 mln USD (+9,6% r/r), non-GAAP marża operacyjna 23,6% (wzrost o 320 punktów bazowych rok do roku), unlevered FCF 88,6 mln USD. Spółka podniosła guidance na cały rok do 285–295 mln USD FCF. To jest bezpośrednia reakcja rynku na Mythosa — widoczna w nowych kontraktach, zanim trafi do wskaźnika ekspansji.

Właściwa metryka wyceny to EV/FCF, nie EV/Sales - Tenable to dojrzała maszyna z przyspieszającym FCF, nie spółka wzrostowa. Pytanie nie brzmi “ile kosztuje dziś”, lecz “czy 10% wzrost przychodów to podłoga czy sufit po Mythosie”.

SentinelOne (S) — środek stawki z rosnącą stawką

SentinelOne buduje dokładnie ten produkt, który Mythos uczynił koniecznym. Analityk-AI zintegrowany z platformą. Purple AI osiągnął 50% attach rate w nowych kontraktach w Q4 FY26, co oznacza, że połowa nowych klientów płaci za tę warstwę od razu przy podpisaniu umowy. Spółka przekroczyła 1 mld USD przychodu rocznego i osiągnęła historyczne minimum kursu 10 kwietnia — to akurat brzmi jak definicja błędu rynkowego.

Ryzyko jest jednak konkretne i warto je nazwać. SentinelOne nie jest na liście Glasswing. CrowdStrike ma głębszą bazę klientów, szersze kanały sprzedaży i bezpośredni dostęp do Mythosa w swoim SOC. Jeśli CRWD zrobi szybki ruch w AI-SOC, SentinelOne traci główny argument różnicujący. To spółka, która gra dobrą rękę bez jednej z najważniejszych kart.

Cloudflare (NET) — z głową w chmurach

Cloudflare nie jest firmą cybersec w tradycyjnym sensie, ale jest to warstwa infrastrukturalna, przez którą agentic AI przechodzi. CEO Matthew Prince sformułował to bez owijania w bawełnę: “jeśli agenty są nowymi użytkownikami sieci, Cloudflare jest platformą, na której działają.”

To nie jest metafora. Każde zapytanie agenta AI do zewnętrznego API, każda komunikacja między mikrousługami, każde wywołanie LLM może przejść przez infrastrukturę Cloudflare. Mythos otworzył budżetową linię “zabezpieczenie komunikacji agent-agent na poziomie sieci”, której rok temu nie było w żadnym planowaniu IT. Cloudflare jest tu pozycjonowany najlepiej ze wszystkich omawianych spółek — i jest jedyną w zestawieniu, która podczas paniki nie straciła.

Wycena na ~175x forward P/E nie wybacza błędów w egzekucji. Cloudflare musi zamienić pozycjonowanie w rzeczywiste kontrakty na nową kategorię produktową szybciej niż wejdą tu CRWD i PANW ze swoimi platformami.

Palantir (PLTR) — anomalia

Podczas gdy sektor krwawił, Palantir zaraportował w Q1 2026 przychody 1,63 mld USD — wzrost 85% rok do roku, najszybszy od debiutu spółki w 2020 roku i był wyceniany na ~233x P/E. To jest ta sama branża, te same makro-ryzyka, które chwilę wcześniej karano za znacznie mniejsze zagrożenia.

Palantir jest traktowany jako czysty beneficjent AI. Kontrakty rządowe, platforma AIP, ekspansja komercyjna. Ale to samo można powiedzieć o CRWD po Glasswing. Rynek stosuje dwa różne frameworki dla firm z tego samego sektora w tej samej chwili. To jest arbitraż narracyjny, nie analiza fundamentalna.

Konkluzja

Przecena z marca 2026 roku była odpowiedzią na realny sygnał, a Mythos prawdopodobnie zmieni symetrię ofensywy i defensywy w sposób, który jeszcze rok temu był niemożliwy. To uzasadnia korektę wycen w segmencie firm bez głębokiej platformy, bez efektu sieciowego danych i bez miejsca w Glasswing.

Rynek nie zrobił jednak tej selekcji tylko sprzedał wszystko hurtem. Zscaler dostał tyle samo co CrowdStrike, choć ich sytuacja fundamentalna jest odwrotna. Okta dostała tyle samo co Palo Alto, choć mierzą się z zupełnie różnymi problemami. Rubrik i Tenable dostały w twarz razem ze spółkami, którym Mythos faktycznie zagraża.

Kiedy rynek nie odróżnia warstwy deterministycznej od probabilistycznej, kiedy nie widzi różnicy między partnerem Glasswing a jego konkurentem bez dostępu do modelu, kiedy ignoruje ubezpieczycieli jako mechanizm podtrzymujący popyt — to jest moment, w którym wyceny odbiegają od wartości. Nie zawsze długo.

> [ WAŻNE_ZASTRZEŻENIE_PRAWNE ]: Treści prezentowane na tym blogu mają charakter wyłącznie edukacyjny i informacyjno-analityczny. Nie stanowią one porady inwestycyjnej ani rekomendacji w rozumieniu przepisów prawa. Inwestowanie na rynkach kapitałowych wiąże się z ryzykiem utraty kapitału. Autor nie ponosi odpowiedzialności za jakiekolwiek decyzje finansowe podjęte na podstawie lektury tych logów.
Kamil Pepliński
Kamil Pepliński

Dziennikarz, analityk, niestrudzony poszukiwacz danych. Pisze o technologii, gospodarce, spółkach i tym, dlaczego rynek czasem zachowuje się jak grupowy projekt na studiach. Wierzy, że dobra analogia jest warta tysiąca wykresów.