Dario Amodei, CEO und Mitbegründer von Anthropic, spricht am 20. Januar 2026 auf dem Weltwirtschaftsforum in Davos, Schweiz. (Foto: Reuters).JPG
Im April 2026 erlebte die Cybersicherheitswelt einen seltenen Moment: Anthropic stellte sein neues Modell Mythos vor, zögerte aber, es der Öffentlichkeit zugänglich zu machen. Die große Wirkung von Mythos lag nicht darin, dass es besser sprach als ein typischer Chatbot, sondern darin, dass Anthropic behauptete, es könne Software-Schwachstellen in einem Umfang finden und ausnutzen, der zuvor nur Top-Experten vorbehalten war.
Anders ausgedrückt: Es geht hier nicht mehr um KI, die Code schreiben kann oder bei der Programmierung hilft, sondern um KI, die direkt am sensibelsten Aspekt der Cybersicherheit beteiligt ist: dem Aufspüren von Schwachstellen, bevor Menschen sie erkennen können, und dem anschließenden Ausnutzen dieser Schwachstellen für Angriffe. Daher hat Anthropic Mythos ab dem Tag der Ankündigung am 7. April nur eingeschränkt zugänglich gemacht, anstatt es öffentlich zu veröffentlichen.
Mythos ist nicht nur theoretisch leistungsstark. Anthropic gab bekannt, dass sein Modell Tausende kritische Sicherheitslücken gefunden hat, darunter einen 27 Jahre alten Fehler in OpenBSD, einen 16 Jahre alten Fehler in FFmpeg und einen 17 Jahre alten Fehler in FreeBSD. Das Unternehmen erklärte außerdem, dass über 99 % der gefundenen Sicherheitslücken zu diesem Zeitpunkt noch nicht behoben waren, weshalb keine Details veröffentlicht werden konnten. Sollten sich diese Zahlen nach einem sorgfältigen Prüf- und Veröffentlichungsprozess bestätigen, zeigen sie, dass die Fähigkeiten von KI einen sehr sensiblen Bereich erreichen: das Aufspüren von Fehlern, die tief im Quellcode eingebettet sind, lange im System existieren und mehrere automatisierte Testebenen sowie mehrere Runden menschlicher Überprüfung durchlaufen haben. Es geht also nicht mehr darum, dass „KI schneller ist als Menschen“, sondern darum, dass „KI die Fehlersuche grundlegend verändert“.
Das Anthropic-Logo wird am 21. April 2026 auf einem Handybildschirm in Créteil, Frankreich, angezeigt. (AFP-Foto).jpg
Um zu verstehen, warum die Cybersicherheitsbranche besorgt ist, muss man den seit Langem bestehenden Engpass der Cybersicherheit betrachten: Zeit, Fachwissen und Kosten. Eine schwerwiegende Schwachstelle erfordert typischerweise stunden- oder tagelange Analyse und Rekonstruktion, bevor ein Exploit entwickelt werden kann. Mit Mythos wurde dieser Engpass schlagartig verringert. Das britische AISI berichtet, dass Mythos als erstes Modell eine vollständige 32-stufige Simulation eines Cyberangriffs auf ein Unternehmen in 3 von 10 Versuchen erfolgreich abgeschlossen hat, mit einer durchschnittlichen Erfolgsquote von 22 von 32 Schritten. In CTF-Tests auf Expertenniveau erreichte das Modell eine Erfolgsquote von 73 %. Es ist wichtig zu betonen, dass das AISI nicht behauptet, Mythos könne alle starken realen Verteidigungssysteme durchbrechen. Die Tatsache, dass die KI in einer langen Aufgabenreihe so weit fortgeschritten ist, deutet jedoch darauf hin, dass sich das Zeitfenster zwischen der Entdeckung von Schwachstellen und deren Ausnutzung rapide verkürzen wird.
Dieser Punkt wurde in der Praxis deutlich veranschaulicht. Mozilla gab an, dass Firefox 150 271 Sicherheitslücken schloss, die dank einer frühen Version von Mythos entdeckt worden waren. Zuvor hatte Firefox 148 in Zusammenarbeit mit Anthropic und unter Verwendung einer älteren Modellgeneration lediglich 22 kritische Schwachstellen behoben. Die Zahl 271 bedeutet nicht automatisch, dass das Internet dadurch 271-mal gefährlicher wurde. Sie verdeutlicht aber etwas viel Praktischeres: KI-gestützte Scans können Sicherheitsteams zu einer umfassenden Bereinigungsphase zwingen, in der eine Vielzahl potenzieller Schwachstellen gleichzeitig aufgedeckt wird. Daher wird die kommende Ära möglicherweise nicht von „KI-Hackern, die alles beherrschen“ geprägt sein, sondern vielmehr von einer Ära, in der jedes Softwareteam gezwungen ist, gründlichere, schnellere und deutlich ressourcenintensivere umfassende Audits durchzuführen.
Simulierter KI-Text auf einem Computer-Motherboard, 23. Juni 2023. (Foto: Reuters)
Mythos ist natürlich nicht nur ein Vergrößerungsglas für Verteidiger. Die Doppelverwendung dieser Technologie bereitet den Regulierungsbehörden Sorgen. Anthropic bestätigt, dass das Modell auf Anfrage Zero-Day-Schwachstellen in gängigen Betriebssystemen und Browsern identifizieren und ausnutzen kann. Der technische Bericht besagt außerdem, dass selbst Personen ohne formale Sicherheitsausbildung, mit den richtigen Tools ausgestattet, Mythos Schwachstellen finden und diese anschließend automatisch ausnutzen lassen können. Genau das verändert das gesamte Gleichgewicht der Cybersicherheit: Wenn Angriffswissen in einem Modell abgebildet wird, sinkt die Einstiegshürde für Angreifer, während der Druck auf die Verteidiger drastisch steigt. Kurz gesagt: KI wandelt die Fehlersuche von einer aufwendigen Angelegenheit in einen Prozess um, der maschinell repliziert werden kann.
Anthropic veröffentlichte Mythos daher nicht als typisches Endkundenprodukt. Stattdessen entwickelten sie das Projekt Glasswing, ein Zusammenschluss von Partnern wie Amazon Web Services, Apple, Google, Microsoft, NVIDIA, JPMorgan Chase, der Linux Foundation und Palo Alto Networks. Mittlerweile sind über 40 Organisationen beteiligt, die kritische Softwareinfrastrukturen entwickeln oder warten. Anthropic stellte bis zu 100 Millionen US-Dollar an Gutschriften für Mythos und 4 Millionen US-Dollar an direkter Unterstützung für Open-Source-Sicherheitsorganisationen bereit. Theoretisch soll damit die Entwicklung defensiver Fähigkeiten gegenüber offensiven Fähigkeiten vorangetrieben werden. Doch die Kehrseite der Medaille ist ebenso deutlich: Ein Werkzeug mit potenziell globaler Softwaresicherheit befindet sich nun in den Händen eines privaten Labors und einer ausgewählten Gruppe von Partnern. Die Debatte dreht sich nicht nur um die Frage „Wie gefährlich ist KI?“, sondern auch darum, „wer sie einsetzen darf und wer sie kontrolliert.“
Die Webseite des Anthropic Project Glasswing wird am 12. April 2026 auf einem Handy in Brüssel, Belgien, angezeigt. (Foto: AFP)
Der Markt reagierte prompt. Reuters berichtete, dass US-Softwareaktien nach der Ankündigung von Mythos am 7. April fielen, während die Financial Times feststellte, dass Cybersicherheitsaktien unter Druck gerieten, da Anleger begannen, die Möglichkeit in Betracht zu ziehen, dass KI traditionelle Geschäftsmodelle im Sicherheitsbereich verändern könnte. Hier liegt ein bemerkenswertes Paradoxon: Wenn ein KI-Modell hilft, Schwachstellen effektiver zu finden, sinkt die Nachfrage nach Cybersicherheit nicht. Im Gegenteil, die Nachfrage könnte sogar deutlich steigen, sich aber von traditionellen Schutzprodukten hin zu neuen Funktionen wie KI-gestütztem Scannen, automatisiertem Patching, Bewertung der Software-Lieferkette, Anomalieüberwachung und Echtzeit-Reaktion verlagern.
Dennoch ist Vorsicht geboten. Anthropics Risikobericht bezeichnet Mythos zwar nicht als „rebellische Super-KI“, kommt aber zu dem Schluss, dass das Gesamtrisiko sehr gering ist, wenn auch höher als bei früheren Modellen. Das Unternehmen gibt an, dass frühe Versionen bei der Aufgabenerfüllung mitunter überreagieren und in seltenen Fällen Anzeichen für ein solches Verhalten gefunden wurden. Bloomberg berichtete zudem, dass sich eine Gruppe unbefugter Nutzer Zugang zu Mythos verschafft hat, und das Wall Street Journal berichtete, dass das Weiße Haus Anthropics Antrag auf Ausweitung des Zugangs auf rund 120 Organisationen aus Gründen der nationalen Sicherheit ablehnte. Diese Fakten zeigen, dass es im Kern nicht um reißerische Details geht, sondern um ein weitaus komplexeres Problem: Wie man ein Tool verwaltet, bei dem sowohl Sicherheit als auch Erweiterung Risiken bergen.
Mythos hat also nicht ein einzelnes System grundlegend erschüttert, sondern die Art und Weise, wie die Welt über Cybersicherheit denkt. Jahrelang glaubten Unternehmen, dass höhere Sicherheitsbudgets, genügend Experten und regelmäßige Sicherheitsupdates ausreichen würden, um die Lage im Gleichgewicht zu halten. Mythos zeigt, dass sich dieses Gleichgewicht verschiebt. Wenn KI Schwachstellen im industriellen Maßstab aufspüren kann, wird derjenige gewinnen, der eine bessere Update-Disziplin, strengere Zugriffskontrollen und eine umfassendere Protokollierung bietet und Cybersicherheit zu einem Thema der Führungsebene macht, nicht nur zu einer Angelegenheit der IT-Abteilung. Genau das betonen auch die britische Regierung und AISI: In dieser neuen Ära sind grundlegende Prinzipien wie Patches, sichere Konfiguration, korrekte Autorisierung und kontinuierliche Überwachung nicht überholt, sondern wichtiger denn je. Heute ist es Mythos. Morgen werden es noch leistungsfähigere Modelle sein. Von nun an lautet die Frage nicht mehr, ob KI das Schlachtfeld der Cybersicherheit betreten hat, sondern ob sich Organisationen angepasst haben, um in diesem Schlachtfeld zu überleben.
Quelle: https://vtv.vn/mythos-mo-hinh-ai-lam-rung-chuyen-the-gioi-an-ninh-mang-100260525191904058.htm
![[Foto] Empfang zur Begrüßung von Generalsekretär und Präsident To Lam und seiner Frau anlässlich ihres Staatsbesuchs auf den Philippinen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
Kommentar (0)