Claude Mythos entdeckt über 10.000 kritische Sicherheitslücken

Künstliche Intelligenz findet Schwachstellen schneller als Menschen sie reparieren können.

Die Cybersicherheitsbranche erlebt einen Paradigmenwechsel. Anthropic, das Unternehmen hinter der KI Claude, meldet einen spektakulären Erfolg: Seine neue KI „Mythos Preview“ hat innerhalb eines Monats mehr als 10.000 kritische Sicherheitslücken in verschiedenen Softwareplattformen aufgespürt. Getestet wurde das System mit rund 50 Partnerorganisationen – darunter namhafte Tech-Konzerne.

Das Problem: Die automatisierte Fehlersuche läuft der menschlichen Fehlerbehebung meilenweit davon. Branchenanalysten warnen vor einer „gefährlichen Übergangsphase“, in der KI-Systeme Schwachstellen in einem Tempo entdecken, das selbst die Patch-Zyklen bestausgestatteter Technologieunternehmen überfordert.

Angesichts der rasanten Zunahme von KI-gesteuerten Schwachstellen-Scans stehen besonders Unternehmen vor neuen Sicherheitsherausforderungen. Dieser kostenlose Ratgeber unterstützt Sie dabei, Bedrohungen abzuwenden und gesetzliche Anforderungen proaktiv umzusetzen. Experten-Checkliste für IT-Sicherheit jetzt kostenlos herunterladen

Cloudflare und Mozilla im Visier

Die Testergebnisse sprechen eine deutliche Sprache. Cloudflare, einer der Hauptpartner, meldete rund 2.000 entdeckte Fehler in seiner Infrastruktur – 400 davon als kritisch eingestuft. Selbst Organisationen mit robusten Sicherheitsvorkehrungen tragen offenbar blinde Flecken in sich, die herkömmliche Scanner übersehen.

Mozilla ließ den Firefox-Browser durch die KI prüfen. Das Ergebnis: 271 Schwachstellen im Code. Die Erkenntnisse aus diesen Partnerschaften zeigen, wohin die Reise geht. Unternehmen können mit KI-Modellen wie Mythos Fehler automatisieren, die sonst Tausende Stunden manueller Penetrationstests erfordert hätten. Der Haken: Die schiere Menge der Funde überfordert die Sicherheitsteams, die nun jeden einzelnen Befund prüfen und beheben müssen.

Die offene Wunde der Open-Source-Welt

Noch alarmierender sind die Ergebnisse aus dem Open-Source-Bereich. Anthropic scannte 1.000 prominente Open-Source-Projekte – das Fundament der globalen digitalen Infrastruktur. Die KI identifizierte Tausende kritischer Schwachstellen. Die genauen Zahlen variieren: Mal ist von 6.202 kritischen Fehlern die Rede, mal von bis zu 23.019 entdeckten Bugs.

Der erschreckendste Befund: Nur 97 dieser Lücken wurden bislang geschlossen. Der Rest bleibt ungepatcht – ein offenes Einfallstor für Angreifer. Das Problem ist struktureller Natur. Open-Source-Projekte werden oft von Freiwilligen betreut, denen die Ressourcen fehlen, um eine Flut komplexer Sicherheitsmeldungen zu bewältigen. Experten fordern daher kürzere Patch-Zyklen und eine grundlegende Neuausrichtung hin zu „Secure-by-Design“-Prinzipien. Sonst droht eine wachsende „Verwundbarkeitsschuld“, die von Angreifern mit ähnlichen KI-Werkzeugen ausgenutzt werden kann.

Angreifer schlafen nicht: Supply-Chain-Attacken auf dem Vormarsch

Die Dringlichkeit der Lage unterstreichen aktuelle Angriffswellen. Erst Anfang Mai kompromittierte die Hackergruppe TeamPCP GitHub über eine bösartige VS-Code-Erweiterung. Ein selbstreplizierender Wurm namens „Mini Shai-Hulud“ schleuste über 500 infizierte Pakete in 20 Angriffswellen ein. Betroffen waren unter anderem die EU-Kommission, OpenAI und Mistral.

Nur wenige Wochen später traf es die Laravel-Lang-Pakete: Angreifer veröffentlichten rund 700 manipulierte Versionen, die mit einem Credential-Stealer ausgestattet waren. Ziel: Cloud-Schlüssel, CI/CD-Tokens und SSH-Keys auf allen gängigen Betriebssystemen.

Diese Vorfälle zeigen: Während defensive KI wie Mythos Fehler findet, automatisieren Angreifer parallel die Ausbeutung der Lieferkette. Die Entdeckung von CVE-2026-43618, einer kritischen Schwachstelle im Win32k-Treiber mit einem CVSS-Score von 9,8, untermauert diesen Trend. Die Lücke wird bereits von staatlichen Hackergruppen gegen europäische Regierungsziele ausgenutzt. Ein Patch wird erst später in diesem Jahr erwartet – die Zeit bis dahin ist ein kritisches Risikofenster.

Die KI-Industrie rüstet auf

Während die Sicherheitsbranche mit diesen Erkenntnissen ringt, treibt der Rest der Tech-Welt die KI-Integration voran. Microsoft hat seinen Copilot in Word, Excel und PowerPoint aktualisiert – hin zu einem „KI-Agenten“, der direkt Dokumente bearbeiten kann. Zwar zahlen derzeit nur 3,3 Prozent der Microsoft-365-Nutzer für den Dienst, doch der Konzern setzt voll auf die Entwicklung.

Google zieht mit Gemini Omni nach, einem multimodalen Modell für Texte, Bilder und Videos. Ein neuer KI-Agent namens „Spark“ für die Mac-App soll Workflows automatisieren und Dateien verwalten. Die gleiche Technologie, die Anthropic zur Fehlersuche nutzt, wird also weltweit zur Produktivitätssteigerung eingesetzt.

Während Tech-Giganten Milliarden in die KI-Entwicklung investieren, eröffnen sich in Sektoren wie Cybersecurity und Robotik gerade außergewöhnliche Renditechancen. Dieser Gratis-Report zeigt Ihnen, wie Sie sich jetzt in den explodierenden Wachstumsmärkten der Zukunft positionieren. Kostenlosen Report zum Tech-Comeback sichern

Die finanziellen Dimensionen sind gewaltig. Microsofts KI-Segment meldete einen annualisierten Umsatz von umgerechnet rund 34 Milliarden Euro – ein Plus von 123 Prozent im Jahresvergleich. Unternehmen wie Infosys, Cognizant und TCS setzen jeweils rund 50.000 Copilot-Lizenzen ein. Doch der Preis ist hoch: Einige Firmen haben ihr gesamtes KI-Jahresbudget bereits nach wenigen Monaten aufgebraucht, allein durch die Rechenkosten für den Betrieb dieser Modelle.

Fluch und Segen zugleich

Die Ergebnisse von Mythos sind ein zweischneidiges Schwert. Einerseits liefern sie eine Blaupause zur Sicherung der globalen Infrastruktur. Andererseits offenbaren sie die Zerbrechlichkeit aktueller Wartungsmodelle. Die Diskrepanz zwischen Tausenden gefundenen und nur 97 gepatchten Fehlern zeigt: Der Engpass in der Cybersicherheit ist nicht mehr die Entdeckung, sondern die menschliche Intervention und die Logistik von Software-Updates.

Die kommenden Jahre werden zu einem Wettlauf zwischen automatisierter Verteidigung und automatisiertem Angriff. Große Unternehmen werden ihre Investitionen in KI-gesteuerte Sicherheitszentren beschleunigen, um den Datenflut zu bewältigen. Für die Open-Source-Community steht mehr auf dem Spiel: Ohne zentrale Finanzierung oder einen massiven Ansturm freiwilliger Helfer könnten Tausende kritischer Schwachstellen ungepatcht bleiben – ein fruchtbarer Boden für künftige Angriffe.

Der Erfolg der KI-Ära wird sich letztlich nicht daran messen lassen, wie viele Fehler gefunden werden, sondern daran, wie schnell die Industrie ihre Arbeitsabläufe anpassen kann, um sie zu beheben.

de | wissenschaft | 69409070 |