Anthropic Mythos: KI entdeckt 23.000 Sicherheitslücken – und nur 75 wurden gepatcht

Anthropic Mythos Preview ist das leistungsfähigste Modell, das Anthropic bisher entwickelt hat. Über eine öffentliche API ist es nicht zugänglich. Am 2. Juni gab Anthropic bekannt, dass der Zugang zu Mythos auf 150 weitere Organisationen ausgeweitet wird. Zusammen mit den ursprünglich rund 50 Partnern umfasst das Project-Glasswing-Netzwerk damit etwa 200 Mitglieder. Neu dabei sind NATO, Samsung, Okta und die EU-Cybersicherheitsbehörde ENISA.

Die 150 neuen Organisationen kommen aus mehr als 15 Ländern und sind vor allem in den Bereichen Energie, Wasserversorgung, Gesundheitswesen, Telekommunikation und Hardware-Lieferketten tätig. Ein gemeinsames Merkmal: Ein erfolgreicher Cyberangriff auf eine dieser Einrichtungen würde mehr als 100 Millionen Menschen betreffen.

181 funktionierende Firefox-Exploits, der Vorgänger schaffte nur 2

Der Grund für Anthropics restriktive Zugangsregelung liegt in einem qualitativen Sprung bei Mythos’s Fähigkeiten zur Schwachstellenausnutzung.

Der Firefox-Test liefert den klarsten Beleg. Forscher konfrontierten Mythos Preview und seinen Vorgänger Opus 4.6 mit denselben Firefox-Schwachstellen und baten beide Modelle, funktionierende JavaScript-Shell-Exploits zu entwickeln. Opus 4.6 gelang dies bei hunderten Versuchen zweimal. Mythos Preview schaffte es 181 Mal. Beim OSS-Fuzz-Control-Flow-Hijack-Benchmark vollendete Opus 4.6 ein Ziel, Mythos zehn.

Beim CyberGym-Benchmark erzielt Mythos 83,1 Prozent gegenüber 66,6 Prozent bei Opus 4.6. Der Unterschied wirkt auf dem Papier moderat, die reale Exploitationsrate liegt jedoch um eine Größenordnung höher. Anthropic hielt in seinem technischen Bericht fest, dass diese Fähigkeiten kein gezieltes Sicherheitstraining zur Grundlage haben. Sie entstanden als “nachgelagerte Folge allgemeiner Verbesserungen in Code, Reasoning und Autonomie”. Offensive Sicherheitsfähigkeiten kamen also ungebeten, als das Modell allgemein intelligenter wurde.

Im Rahmen des Glasswing-Programms hat Mythos bisher über 23.000 potenzielle Schwachstellen identifiziert. Mehr als 6.000 davon werden voraussichtlich als kritische Fehler bestätigt. Die Zahl der bereits behobenen Lücken: 75.

Der Abstand zwischen Entdeckung und Behebung ist die zentrale Herausforderung des Projekts.

Project Glasswing: 12 Gründungsmitglieder und 104 Millionen Dollar

Project Glasswing wurde von zwölf Organisationen gegründet: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks und Anthropic. Die finanziellen Zusagen umfassen 100 Millionen Dollar an Modell-Nutzungskrediten und 4 Millionen Dollar an direkten Spenden an Open-Source-Sicherheitsorganisationen.

Die von Mythos gefundenen Schwachstellen verdeutlichen, warum das Projekt auf Legacy-Code abzielt: eine 27 Jahre alte Remote-Crash-Lücke in OpenBSD, ein 16 Jahre alter Fehler in FFmpeg, der fünf Millionen automatisierte Testläufe überlebt hat, sowie mehrere Kernel-Schwachstellen in Linux, die Privilege Escalation ermöglichen. All diese Probleme überstanden jahrzehntelange menschliche Prüfung und automatisiertes Fuzzing. Mythos fand sie durch autonomes Schlussfolgern. Weitere Details finden sich auf der offiziellen Project-Glasswing-Seite von Anthropic.

Warum Mythos nicht öffentlich verfügbar ist

Anthropic hat ausdrücklich erklärt, dass Mythos Preview nicht allgemein verfügbar gemacht wird. Ein Modell, das in wenigen Minuten funktionierende Remote-Code-Execution-Exploits für weit verbreitete Software entwickeln kann, würde als Standard-API die Angriffshürde für Kriminelle nahezu auf null senken.

Der gewählte Weg ist kontrollierter Zugang: Nutzungsrechte an Organisationen vergeben, die das Werkzeug verantwortungsvoll einsetzen können, ergänzt durch koordinierte Offenlegungsverfahren. Der Beitritt von NATO und ENISA verleiht dem Glasswing-Framework eine staatlich koordinierte Dimension, die weit über die ursprünglichen Tech-Unternehmen hinausgeht.

Laut einem Bericht von SecurityWeek arbeitet Anthropic auch daran, Schwachstellenberichte so aufzubereiten, dass Open-Source-Betreuer sie leichter verarbeiten können. Ziel ist es, die Behebungsrate aus dem Prozess heraus zu beschleunigen.

6.000 schwerwiegende Schwachstellen gefunden. 75 behoben. Die nächste Frage lautet möglicherweise, ob KI auch die Behebungsarbeit selbst automatisieren kann.

Wenn dieser Artikel hilfreich war, abonniere den Newsletter für wöchentliche KI-PM-Einblicke.