Claude Mythos: KI-Modell spürt 23.000 Sicherheitslücken auf

Die Europäische Zentralbank hat am heutigen Dienstag eine Dringlichkeitssitzung mit den 111 größten Banken der Eurozone einberufen. Grund ist die bevorstehende Veröffentlichung eines KI-Modells, das Sicherheitslücken in Software mit beispielloser Geschwindigkeit aufspürt.

Das Modell Claude Mythos des US-Entwicklers Anthropic steht kurz vor dem öffentlichen Release. Bislang war die Technologie nur einem kleinen Kreis von Partnern zugänglich. Nun mehren sich die Anzeichen für eine breite kommerzielle Nutzung – und lösen damit hektische Aktivität bei Finanzaufsichtsbehörden und Regierungen aus.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Jetzt Cyber Security E-Book kostenlos herunterladen

Die „Mythos-Schockwelle" erreicht Frankfurt

EZB-Vizepräsident Frank Elderson schlug im Krisengespräch Alarm: Das Modell könne den Inhalt von Sicherheitsupdates innerhalb von 30 Minuten analysieren und daraus Angriffsmethoden ableiten. Die Banken müssten sich auf ein neues Tempo der Bedrohung einstellen – eines, das die menschliche Fähigkeit zur Gegenwehr übersteige.

Die technischen Daten untermauern diese Sorge. In internen Tests identifizierte Claude Mythos 72,4 Prozent aller Sicherheitsexploits. Zum Vergleich: Das Vorgängermodell Claude Opus 4.6 lag in ähnlichen Szenarien nahe Null. Das britische KI-Sicherheitsinstitut bestätigte, dass eine Vorschauversion 73 Prozent spezialisierter „Capture The Flag"-Cybersicherheitsaufgaben löste.

Projekt Glasswing: 23.000 Sicherheitslücken entdeckt

Die bemerkenswerten Fähigkeiten des Modells wurden im Rahmen des Projekts Glasswing sichtbar, das am 7. April 2026 startete. Mehr als 50 Partner – darunter Amazon Web Services, Apple, Google, Microsoft, NVIDIA und JPMorgan Chase – nutzten die Mythos-Vorschau, um über 1.000 Open-Source-Projekte zu durchleuchten.

Das Ergebnis ist atemberaubend: 23.019 potenzielle Schwachstellen wurden identifiziert, davon 6.202 als hochriskant oder kritisch eingestuft. Externe Prüfstellen bestätigten eine Trefferquote von über 90 Prozent. Zu den spektakulärsten Funden zählen ein 27 Jahre alter Fehler in OpenBSD und ein 16 Jahre altes Problem in FFmpeg. Auch wolfSSL, eine Sicherheitsbibliothek, die auf Milliarden von Geräten läuft, wies kritische Lücken auf.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Zum kostenlosen Umsetzungsleitfaden EU AI Act

Die Flut automatisierter Fehlermeldungen setzt die Open-Source-Community massiv unter Druck. Viele Projektbetreuer bitten Anthropic um ein langsameres Tempo – die manuelle Behebung könne mit der KI-gestützten Entdeckung nicht Schritt halten. Einige Unternehmen haben ihre Bug-Bounty-Programme ausgesetzt, weil die schiere Menge KI-generierter Funde die Prämienstrukturen sprengt.

Anthropic reagierte mit einem Hilfspaket: 100 Millionen Dollar in Nutzungsguthaben und 4 Millionen Dollar speziell für Open-Source-Sicherheit, darunter eine Partnerschaft mit dem OpenSSF Alpha-Omega-Projekt.

Das Patching-Dilemma: 1.596 Lücken, 97 behoben

Ein Blick auf die aktuellen Zahlen verdeutlicht das Problem: Seit dem 22. Mai hat Anthropic über sein Sicherheits-Dashboard 1.596 Schwachstellen gemeldet. Behoben wurden davon gerade einmal 97. Die Kosten für das Auffinden von Bugs sind drastisch gesunken – doch der menschliche Prozess des Schließens bleibt der Flaschenhals.

Cloudflare, ebenfalls Projektpartner, berichtet von 2.000 gefundenen Fehlern, davon 400 hochriskant. Die Falsch-Positiv-Rate lag unter der menschlicher Tester. Mozilla gelang es immerhin, 271 Sicherheitslücken in Firefox 150 zu schließen – dank Mythos-Unterstützung. Doch many kleinere Projekte haben schlicht nicht die Ressourcen, um mitzuhalten.

Washington greift zu: Neun Milliarden für Geheimdienst-KI

Während die Finanzwelt noch nach Lösungen sucht, handelt die US-Regierung bereits. Das Weiße Haus steht kurz vor einem Abkommen, das Geheimdiensten wie NSA und CIA Zugang zu Claude Mythos für klassifizierte Operationen verschaffen soll. Ein bemerkenswerter Schwenk: Das Pentagon hatte Anthropic zuvor noch als potenzielles Lieferkettenrisiko eingestuft.

Zur Unterstützung genehmigte Stabschefin Susie Wiles Ausgaben in Höhe von neun Milliarden Dollar für spezialisierte Hardware – Nvidia Grace Blackwell-Chips –, die in den Rechenzentren der Geheimdienste installiert werden sollen. Der Grund: akuter Mangel an Hochleistungsrechnern für den Einsatz moderner KI in klassifizierten Systemen.

Die Vereinbarung soll ausdrücklich keine Massenüberwachung oder autonome Waffensysteme umfassen. Stattdessen geht es um Cyberabwehr und die Identifikation von Bedrohungen in ausländischer Infrastruktur.

Ausblick: Wann kommt Mythos für alle?

Anthropic bereitet die schrittweise Veröffentlichung von „Mythos 1" vor. Zunächst bleibt der Zugang auf Regierungen und große Unternehmen beschränkt. Ein breiterer öffentlicher Release ist nach Unternehmensangaben frühestens in sechs bis zwölf Monaten zu erwarten – vorausgesetzt, die Sicherheitsvorkehrungen sind ausgereift.

Die Integration in das Claude Security Dashboard und Claude Code deutet darauf hin, dass das Tool langfristig zum Standardwerkzeug für Entwickler werden soll. Bis dahin steht die Branche vor einer gewaltigen Aufgabe: Sie muss das Tempo der Fehlerbehebung drastisch erhöhen, um mit der KI-gestützten Entdeckung Schritt zu halten.

Die „Mythos-Schockwelle" ist mehr als eine Momentaufnahme. Sie ist ein Vorgeschmack auf eine Ära, in der die Sicherheit der globalen digitalen Infrastruktur zunehmend von autonomen Systemen bestimmt wird – sowohl als Schutzschild als auch als potenzielle Waffe.

de | wissenschaft | 69422313 |