Claude Mythos entdeckt über 10.000 Sicherheitslücken in Rekordzeit

Anthropics KI-Modell findet in nur einem Monat mehr Schwachstellen als menschliche Teams – doch das Tempo der Fehlerbehebung hält nicht Schritt.

Die Zeiten, in denen KI nur Texte und Bilder generierte, sind endgültig vorbei. Anthropic, einer der führenden Akteure im Bereich der künstlichen Intelligenz, hat mit seinem Projekt Glasswing einen Meilenstein gesetzt: Das Modell Claude Mythos Preview identifizierte innerhalb von vier Wochen mehr als 10.000 kritische und hochriskante Software-Sicherheitslücken. Die Ergebnisse, veröffentlicht am 23. Mai 2026, markieren einen Wendepunkt in der Cybersicherheit – und werfen gleichzeitig drängende Fragen auf.

Projekt Glasswing: Ein digitaler Sicherheits-Check für die Industrie

Seit April 2026 durchforstete Claude Mythos die Code-Basen von über 50 Partnerorganisationen und mehr als 1.000 Open-Source-Projekten. Die beteiligten Unternehmen lesen sich wie das Who-is-Who der Tech-Branche: Amazon Web Services (AWS), Apple, Google, NVIDIA und die Großbank JPMorgan Chase.

Die Ergebnisse sind beeindruckend – und beunruhigend zugleich. Cloudflare meldete rund 2.000 entdeckte Fehler, davon 400 mit hohem oder kritischem Risiko. Bemerkenswert: Die KI wies eine niedrigere Fehlalarmrate auf als menschliche Tester. Bei Mozilla steigerte sich die Erkennungsrate drastisch: Für den Browser Firefox 150 fand Claude Mythos 271 Schwachstellen – eine Verzehnfachung im Vergleich zum Vorgängermodell Claude Opus 4.6.

Die rasanten technischen Fortschritte bei der Erkennung von Sicherheitslücken verdeutlichen den Wert neuer Schlüsseltechnologien. Ein kostenloser Report zeigt, welche Sektoren von Cybersecurity bis Robotik derzeit vor einem Ausbruch stehen und enorme Chancen für Anleger bieten. Kostenlosen Report über das Tech-Comeback sichern

Einige der entdeckten Fehler waren jahrzehntealt. So förderte die KI einen 27 Jahre alten Programmierfehler im Betriebssystem OpenBSD zutage sowie eine 16 Jahre alte Schwachstelle in der Multimedia-Bibliothek FFmpeg. Die kritischste Entdeckung: CVE-2026-5194 in der Kryptobibliothek WolfSSL mit einem CVSS-Score von 9,1 (maximal 10).

Im Finanzsektor zeigte sich das Potenzial besonders deutlich: Eine Partnerbank konnte mit Hilfe von Claude Mythos eine betrügerische Überweisung in Höhe von 1,5 Millionen Euro rechtzeitig stoppen. Unabhängige Prüfer bestätigten die Treffsicherheit des Modells: Von über 23.000 Kandidaten bestätigten sich 1.726 Funde – eine Trefferquote von rund 90,8 Prozent.

Neue Werkzeuge für autonome KI-Agenten

Doch Anthropic ruht sich nicht auf diesen Erfolgen aus. Auf einer Veranstaltung in London am 19. Mai 2026 präsentiert das Unternehmen zwei neue Sicherheitsfunktionen, die Claude noch tiefer in Unternehmensnetzwerke integrieren sollen.

MCP Tunnels (derzeit in der Forschungsvorschau) erlauben Claude-Agenten den Zugriff auf interne MCP-Server (Model Context Protocol) – ohne dass ein öffentlicher Endpunkt nötig ist. Eine einzige, verschlüsselte Verbindung reicht aus, um sicher Daten aus privaten Datenbanken abzurufen. Zu den Startpartnern zählen Cloudflare, Vercel und Daytona.

Parallel dazu startet die öffentliche Beta von Self-Hosted Sandboxes. Unternehmen können damit die Ausführung von KI-Tools – etwa Code-Interpretern – auf ihre eigene Infrastruktur verlagern, statt sie auf Anthropics Servern laufen zu lassen. Das gibt Firmen die volle Kontrolle über sensible Daten.

Das UK AI Security Institute bescheinigte Claude Mythos kürzlich eine Premiere: Das Modell ist das erste, das die komplexesten mehrstufigen Cyberangriffssimulationen des Instituts erfolgreich lösen konnte.

Anthropic auf dem Weg in die Profitabilität

Die technischen Fortschritte spiegeln sich auch in den Geschäftszahlen wider. Für das zweite Quartal 2026 prognostiziert Anthropic interne Einnahmen von 10,9 Milliarden Euro und einen operativen Gewinn von 559 Millionen Euro. Das Unternehmen nähert sich damit der Gewinnschwelle – ein bedeutender Meilenstein. Um das Ökosystem zu fördern, stellt Anthropic 4 Millionen Euro für Open-Source-Sicherheitsprojekte und bis zu 100 Millionen Euro in Nutzungsguthaben für Sicherheitsforschungspartner bereit.

Die Konkurrenz schläft nicht: OpenAI bereitet Berichten zufolge einen vertraulichen Börsengang in den USA vor, mit einer angestrebten Bewertung von einer Billion Euro – ein Sprung von aktuell 852 Milliarden Euro. Salesforce vermeldete für seine Sparte „Agentforce“ einen jährlich wiederkehrenden Umsatz (ARR) von 800 Millionen Euro im letzten Quartal des Geschäftsjahres 2026.

Der menschliche Flaschenhals

So beeindruckend die Entdeckungsrate der KI ist – die Behebung der Fehler bleibt Menschenarbeit. Und hier liegt das Problem. Von über 10.000 gefundenen Schwachstellen wurden bislang nur 97 behoben – das entspricht 88 offiziellen Sicherheitshinweisen. Die Maintainer mehrerer Open-Source-Projekte haben Anthropic sogar gebeten, das Tempo der Veröffentlichungen zu drosseln. Die schiere Flut an Bug-Meldungen überfordert die Entwicklungsteams.

Die Folgen sind bereits sichtbar: Oracle ist auf einen monatlichen Patch-Zyklus umgestiegen, um mit der gestiegenen Flut an Sicherheitsdaten Schritt zu halten. Microsoft warnte, dass die Zahl der benötigten Patches weiter steigen werde, je verbreiteter KI-gestützte Scans werden.

Anthropic selbst spricht von einer Übergangsphase: Die Fähigkeit, Schwachstellen zu finden, sei der Fähigkeit, sie zu beheben, weit voraus. Das schafft ein gefährliches Zeitfenster: Zero-Day-Lücken sind den KI-Modellen und ihren Betreibern bekannt, bleiben aber ungepatcht im Umlauf. Mit einem neuen Cyber Verification Program will Anthropic den Offenlegungs- und Behebungsprozess formalisieren.

Strengere Regulierung in Sicht

Ab 2. August 2026 wird sich die Lage weiter verschärfen – zumindest regulatorisch. Dann treten sowohl das EU AI Act als auch das California AI Transparency Act in Kraft. Die Gesetze werden strengere Offenlegungspflichten für KI-generierte Inhalte und umfassendere Sicherheitstests für große Modelle vorschreiben.

Mit dem Inkrafttreten des EU AI Acts verschärfen sich die gesetzlichen Anforderungen an die Transparenz und Sicherheit von KI-Systemen für Unternehmen massiv. Ein kostenloser Leitfaden verschafft Fachverantwortlichen jetzt den nötigen Überblick über Fristen, Pflichten und Risikoklassen. Umsetzungsleitfaden zum EU AI Act jetzt gratis herunterladen

Die Erfolge von Claude Mythos dueten darauf hin, dass autonome KI-Agenten zum Standard in der Unternehmenssicherheit werden. Die unmittelbare Herausforderung bleibt jedoch der menschliche Flaschenhals. Während KI längst klassische Turing-Tests besteht – eine aktuelle Studie der University of California, San Diego, zeigte, dass GPT-4.5 in 73 Prozent der Fälle als menschlich wahrgenommen wurde –, bleibt das manuelle Programmieren, Testen und Ausrollen von Sicherheitsupdates der limitierende Faktor.

Die kommenden Monate werden zeigen, ob die Branche mit automatisierten Patch-Tools nachzieht – oder ob die Lücke zwischen Entdeckung und Behebung zur größten Sicherheitsherausforderung des Jahrzehnts wird.

de | wissenschaft | 69410980 |