Claude Mythos: KI entdeckt 23.000 Sicherheitslücken in 30 Tagen

Die KI identifizierte bei der Analyse von 1.000 Open-Source-Projekten insgesamt 23.000 Sicherheitslücken. Davon stuften die Experten 6.202 als hochkritisch oder kritisch ein. Eine unabhängige Überprüfung bestätigte eine Trefferquote von über 90 Prozent.

Angesichts der rasanten Entwicklung von KI-gesteuerten Angriffsszenarien müssen Unternehmen ihre Verteidigungsstrategien grundlegend überdenken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen

Alte Schwachstellen, neue Bedrohung

Besonders alarmierend: Die KI entdeckte Sicherheitslücken, die jahrzehntelang unentdeckt blieben. Darunter eine 27 Jahre alte Denial-of-Service-Lücke in OpenBSD und ein 16 Jahre alter Fehler im FFmpeg H.264-Codec, der rund fünf Millionen vorherige Scans überstanden hatte. Die KI konnte zudem eine 17 Jahre alte Sicherheitslücke in einem FreeBSD NFS-Server eigenständig ausnutzen.

In Sicherheitstests gelang der KI sogar die Verkettung von vier verschiedenen Schwachstellen, um eine Browser-Sandbox zu überwinden. Sie entwickelte funktionsfähigen Code für eine Zertifikatsfälschung in wolfSSL – einer Bibliothek, die in Milliarden von Geräten zum Einsatz kommt.

Cloudflare, ein Partner des Projekts, meldete, dass die KI 2.000 Fehler mit einer geringeren Fehlalarmrate fand als menschliche Tester.

Regierung bremst KI-Expansion

Das Weiße Haus griff am 31. Mai 2026 ein und blockierte die geplante Ausweitung des Mythos-Zugangs auf 120 Organisationen. Derzeit haben nur 40 bis 50 Unternehmen unter dem Projekt Glasswing Zugriff, darunter Apple, AWS und Microsoft.

Anthropic-CEO Dario Amodei schätzt, dass Gegner etwa sechs bis zwölf Monate von vergleichbaren KI-Fähigkeiten entfernt sind. Um die Gefahr einer Massenbewaffnung zu kontrollieren, stellt Anthropic den Glasswing-Teilnehmern Nutzungsguthaben im Wert von 100 Millionen Euro zur Verfügung. Das Mythos-Modell bleibt vorerst unter Verschluss.

Stattdessen startete das Unternehmen am 1. Juni 2026 weltweit Claude Opus 4.8 mit einem Kontextfenster von einer Million Tokens und verbesserter Fehlerbehandlung.

Da KI-Systeme zunehmend zur Identifizierung von Schwachstellen genutzt werden, rücken auch die neuen gesetzlichen Rahmenbedingungen für deren Einsatz in den Fokus. Dieses kostenlose E-Book bietet einen praxisnahen Umsetzungsleitfaden zu Risikoklassen und Dokumentationspflichten der EU-KI-Verordnung. Kostenlosen Leitfaden zum EU AI Act herunterladen

Milliarden-Investition in Sicherheit

IBM und Red Hat reagierten am 31. Mai 2026 mit der Gründung von Project Lightwell. Die Fünf-Milliarden-Euro-Initiative beschäftigt 20.000 Ingenieure und schafft eine zentrale Anlaufstelle für die Behebung von Open-Source-Sicherheitslücken. Elf Finanzinstitute sind bereits dabei, darunter Goldman Sachs, JPMorgan Chase, Visa und die Bank of America.

Der Zeitdruck ist enorm: Die durchschnittliche Zeitspanne zwischen der Veröffentlichung einer Schwachstelle und ihrer Aufnahme in die CISA-Liste bekannter ausgenutzter Sicherheitslücken beträgt nur noch fünf Tage. Bei den jüngsten Langflow- und Marimo-Lücken vergingen gerade einmal zehn bis zwanzig Stunden bis zur Ausnutzung.

Marktbeobachter sehen Unternehmen gezwungen, von traditionellen Patch-Prozessen auf Zero-Trust-Strategien umzustellen. Nur so lässt sich die seitliche Ausbreitung KI-gesteuerter Angriffe eindämmen.

de | wissenschaft | 69462454 |