KI-Sicherheit: Anthropic findet 23.000 Schwachstellen – Entwickler überfordert
26.06.2026 - 05:35:48 | boerse-global.de
Die KI-gestützte Sicherheitsinitiative von Anthropic hat innerhalb eines Monats mehr als 23.000 Schwachstellen in Open-Source-Projekten aufgespürt – und überfordert damit die menschlichen Entwickler.
Die Ergebnisse sind beeindruckend und beängstigend zugleich. Mit dem Mythos-Modell identifizierte das Projekt Glasswing über 1.000 Open-Source-Projekte mit Sicherheitslücken, davon mehr als 6.000 als hochkritisch oder kritisch eingestuft. Die Bestätigungsrate der Funde liegt bei bemerkenswerten 90 Prozent.
Doch der Erfolg hat einen Haken: Die schiere Menge an gemeldeten Schwachstellen überfordert die Softwareentwickler. Branchenpartner wie Cloudflare berichten von einer Verzehnfachung der Effizienz bei der Fehlersuche – aber die menschliche Fähigkeit, diese Lücken zu bewerten und zu schließen, bleibt der entscheidende Engpass. Die Betreiber des curl-Projekts haben bereits angekündigt, für Juli 2026 keine weiteren Schwachstellenmeldungen mehr anzunehmen.
Geheimdienste alarmiert
Die wahren Fähigkeiten des Mythos-Modells zeigten sich Anfang Juni bei Tests mit US-Geheimdiensten. NSA-Chef General Joshua Rudd bestätigte, dass das Tool innerhalb von Stunden Schwachstellen in fast allen klassifizierten Systemen identifizierte – eine Aufgabe, die normalerweise Wochen dauert.
Diese Geschwindigkeit verändert die Sicherheitslandschaft grundlegend. Bisher gingen Organisationen davon aus, ein mehrwöchiges Zeitfenster für die Behebung neuer Lücken zu haben. Der Verizon Data Breach Investigations Report 2026 zeigt jedoch: Die durchschnittliche Zeit bis zur Schließung einer Schwachstelle beträgt 43 Tage, während Exploits bereits für 31 Prozent aller Sicherheitsverletzungen verantwortlich sind. Sicherheitsexperten warnen, dass solche Fähigkeiten bis 2027 auch gegnerischen Akteuren zur Verfügung stehen könnten.
Die rasante Entwicklung von KI-Modellen wie Mythos stellt Unternehmen vor völlig neue regulatorische Herausforderungen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, die neuen Risikoklassen und Dokumentationspflichten rechtzeitig zu verstehen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
US-Regierung greift ein
Die US-Regierung reagierte am 12. Juni mit einer Direktive, die Anthropic anwies, die Modelle Fable 5 und Mythos 5 für ausländische Staatsangehörige zu sperren. Auslöser war die Entdeckung einer Jailbreak-Sicherheitslücke durch Amazon-Forscher. Anthropic setzte die globale Sperrung um – was auch die NSA von den Tools abschnitt.
Mehr als 100 Cybersicherheitschefs von Unternehmen wie Adobe und Nvidia forderten die Regierung jedoch auf, die Direktive aufzuheben. Ihre Argumentation: Die Einschränkung des Zugangs helfe letztlich den Angreifern, indem sie Verteidigern das Verständnis für KI-gestützte Bedrohungen verwehre. Präsident Trump erklärte am 25. Juni, Anthropic gelte nicht mehr als Sicherheitsrisiko – Analysten von Forrester betonen jedoch, dass es keine formelle Änderung der Exportpolitik gebe.
Neben staatlichen Regulierungen müssen Unternehmen ihre IT-Infrastruktur heute proaktiv gegen die neue Generation automatisierter Angriffe absichern. Erfahren Sie in diesem Gratis-Report, wie Sie Sicherheitslücken schließen und aktuelle gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
Neue Abwehrmechanismen in der Pipeline
Angesichts der Flut an entdeckten Schwachstellen entstehen neue Programme zur Automatisierung der Verteidigung. Endor Labs startete am 25. Juni einen Zero-Day-Patching-Dienst, der Open-Source-Lücken in weniger als 24 Stunden schließen soll. Das Unternehmen schloss sich zudem dem Linux-Foundation-Projekt Akrites an, gemeinsam mit Anthropic, OpenAI und Amazon.
Anthropic selbst brachte das Claude Security Tool und ein Cyber Verification Program auf den Markt. Doch die Bilanz ist ernüchternd: Weniger als fünf Prozent der 23.000 von Project Glasswing identifizierten Schwachstellen wurden bislang behoben. Ab dem 8. Juli 2026 verlangt Anthropic für den Zugriff auf sensible Funktionen zudem einen amtlichen Ausweis und ein Selfie.
Branchenexperten erwarten für Juli 2026 eine Welle öffentlicher Schwachstellenmeldungen, wenn die obligatorischen Wartefristen für die ersten Glasswing-Funde auslaufen. Organisationen wird geraten, auf automatisierte Behebungsprozesse und Zero-Trust-Architekturen umzustellen – die Zeit drängt.
