KI-Modell Claude Mythos löst weltweiten Sicherheitsalarm aus

Ein neues KI-Modell, das Softwarelücken eigenständig findet und ausnutzt, hat US-Finanzaufsicht und Tech-Konzerne in höchste Alarmbereitschaft versetzt. Innerhalb von 72 Stunden führten Notfalltreffen in Washington und Silicon Valley zu einem koordinierten Krisenmanagement.

Finanzwelt in höchster Alarmbereitschaft

Am 10. April 2026 trafen sich US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell im Notfall mit den CEOs der größten Banken des Landes. Citigroup, Bank of America, Morgan Stanley, Wells Fargo und Goldman Sachs wurden über die spezifischen Cyberrisiken durch Anthropics neues KI-Modell „Claude Mythos Preview“ informiert. Das seit dem 7. April in limitiertem Einsatz befindliche System kann angeblich eigenständig sogenannte Zero-Day-Lücken aufspüren und für Angriffe nutzen. Diese Entwicklung stellt die globale Finanzbranche vor eine völlig neue Bedrohungslage.

Während KI-Systeme neue Einfallstore für Cyberkriminelle öffnen, rücken auch alltägliche Arbeitsmittel wie das Smartphone stärker ins Visier von Angreifern. Dieses kostenlose E-Book zeigt, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen vor modernen Cyberbedrohungen schützen. Gratis-Leitfaden zur Cyber-Security jetzt herunterladen

Auch Aufseher in Kanada und Großbritannien zogen nach. Die Bank of Canada und die Bank of England hielten separate Sitzungen ab, um die Gefahr einzuschätzen. Anthropic hat den Zugang zu Mythos über das Programm „Project Glasswing“ streng limitiert. Nur etwa 40 ausgewählte Organisationen wie Amazon, Apple, Google, JPMorgan Chase und Microsoft haben Zugang – trotz eines Angebots von 100 Millionen Euro an Nutzungsguthaben für diese Partner. Der Entwickler hält das Modell derzeit für zu gefährlich für eine öffentliche Freigabe.

Experten auf der HumanX AI-Konferenz warnen vor einer neuen Ära der „Agent-zu-Agent“-Cyberkriegsführung. Während einige Analysten in dem vorsichtigen Rollout auch eine Marketingstrategie sehen, ist sich die Finanzaufsicht einig: Die autonomen Fähigkeiten von Mythos verändern die Bedrohungslage für Banken-Infrastrukturen grundlegend.

Microsoft startet Notfall-Offensive „Copilot Code Red“

Während Behörden nach regulatorischen Antworten suchen, überholen Tech-Giganten ihre internen Abläufe. Am 11. April startete Microsoft-CEO Satya Nadella die Notfallinitiative „Copilot Code Red“. Ziel ist es, die Leistung der Microsoft-KI-Assistenten zu verbessern und den Rückstand zu Modellen wie Mythos aufzuholen.

Der Vorstoß kommt zu einer kritischen Zeit. Berichten zufolge nutzt Microsoft etwa 30 Prozent seiner neuen Azure-Kapazitäten für interne KI-Entwicklung. Analysten zufolge dämpft dies das Cloud-Wachstum des Konzerns um mehrere hundert Basispunkte. Um seine Marktposition zu behaupten, will Microsoft am 1. Mai die Suite Microsoft 365 E7 vorstellen. Sie integriert verbesserte KI-Funktionen und das neue Tool „Copilot Cowork“, das in Zusammenarbeit mit Anthropic entwickelt wurde und komplexe Arbeitsabläufe managen soll.

Der strategische Schwenk spiegelt auch eine Abkühlung im SaaS-Markt wider. Seit Jahresbeginn 2026 stehen Tech-Aktien unter Druck. Microsoft notiert etwa 21 Prozent im Minus, Wettbewerber wie Salesforce und Workday verzeichnen noch stärkere Verluste. Microsoft-Manager schlagen nun ein neues Lizenzmodell vor: Autonome KI-Agenten sollen eigene, bezahlte „Arbeitsplätze“ benötigen – ähnlich wie menschliche Mitarbeiter. So will der Konzern Einnahmeausfälle kompensieren, wenn KI-Agenten menschliche Nutzer ersetzen.

Kaskade von Sicherheitslücken erschüttert Branche

Die Dringlichkeit der Krisentreffen wird durch eine Serie jüngster Sicherheitsvorfälle unterstrichen. Am 11. April wurde bekannt, dass 22 verschiedene Anwendungen unbeabsichtigt Google-API-Schlüssel offengelegt hatten. Angreifer nutzten dies, um kostenlos auf Gemini-KI-Dienste zuzugreifen – mit einem Schaden von hunderttausenden Euro. Der Vorfall zeigt die Schwierigkeit, Sicherheitsprotokolle durchzusetzen, während Entwickler KI überstürzt in bestehende Software integrieren.

Zudem warnte OpenAI macOS-Nutzer dringend vor einem schwerwiegenden Supply-Chain-Angriff. Der Ende März entdeckte Angriff kompromittierte die weit verbreitete Axios-JavaScript-Bibliothek. Hacker manipulierten einen GitHub-Actions-Workflow, um eine schädliche Version der Bibliothek herunterzuladen. So erhielten sie Zugriff auf Signaturzertifikate für mehrere macOS-Apps, inklusive des ChatGPT-Desktop-Clients. Zwar wurden wohl keine Zertifikate entwendet, doch OpenAI fordert Nutzer auf, ihre Apps bis zum 11. April zu aktualisieren. Der Support für ältere, potenziell kompromittierte Versionen endet am 8. Mai 2026.

Die rasanten technologischen Entwicklungen bringen nicht nur Sicherheitsrisiken, sondern auch neue rechtliche Rahmenbedingungen wie die EU-KI-Verordnung mit sich. Dieser kompakte Ratgeber hilft Ihnen, Fristen und Risikoklassen des AI Acts richtig einzuschätzen und rechtssicher zu agieren. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Die Schwachstellen beschränken sich nicht auf KI-Entwickler. Die Hackergruppe ShinyHunters erbeutete am 11. April Daten von Rockstar Games, indem sie Snowflake-Cloud-Instanzen über ein Tool von Anodot angriff. Die Gruppe droht, sensible Informationen – darunter Marketing-Details für kommende Titel – zu veröffentlichen, falls bis zum 14. April kein Lösegeld gezahlt wird.

Neue Abwehrmaßnahmen und verschlüsselte Kommunikation

Als Reaktion auf die eskalierende Bedrohung durch DNS-Hijacking und Datendiebstahl staatlicher Akteure gaben internationale Sicherheitsbehörden neue Richtlinien heraus. Am 11. April empfahlen die NSA und europäische Behörden Organisationen und Privatnutzern, ihre Router wöchentlich neu zu starten. Diese einfache Maßnahme soll nicht-persistente Malware von Gruppen wie APT28 (Fancy Bear) stören, die Schwachstellen in Routern von Herstellern wie TP-Link ausnutzen, um Internetverkehr abzufangen.

Parallel rollt Google seit dem 12. April eine End-to-End-Verschlüsselung (E2EE) für Gmail auf iOS und Android aus. Die Funktion ist aktuell auf Workspace-Nutzer mit bestimmten Enterprise-Abos beschränkt. Während der E-Mail-Inhalt verschlüsselt wird, bleiben Metadaten wie Betreffzeilen unverschlüsselt – ein Beispiel für die anhaltenden Herausforderungen für vollständige Datenschutz in komplexen Cloud-Umgebungen.

Die kommenden Wochen werden entscheidend für KI-Sicherheit und Regulierung. Die Einführung von Microsofts E7-Suite am 1. Mai und die geplanten Preissenkungen für Windows 365 Cloud PCs deuten auf einen Push hin zu zentralisierten, cloud-basierten Umgebungen, die Unternehmen leichter absichern können. Doch die Deadline für OpenAI-Nutzer am 8. Mai erinnert an die persistenten Risiken in der Software-Lieferkette.

Während US-Finanzministerium und Fed den Dialog mit der Bankenbranche fortsetzen, dürfte der Fokus auf formale Regeln für „agentisches“ KI-Verhalten fallen. Die Beatte, ob KI-Agenten als eigenständige Entitäten für Lizenzierung und Haftung behandelt werden sollen, wird die SaaS-Branche im zweiten Halbjahr 2026 prägen. Solange bleiben die mächtigsten KI-Modelle der Welt unter strengster Kontrolle.

de | boerse | 69130795 |