Thought Leadership
Ein Zwischenbericht von Anthropic zeigt das immense Potenzial des Modells Claude Mythos Preview, das in über 1000 Open-Source-Projekten Sicherheitslücken fand.
Die auf künstliche Intelligenz spezialisierte Entwicklerfirma Anthropic hat erste konkrete Zahlen aus der Praxis ihrer Sicherheitsallianz Project Glasswing vorgelegt. Im Verlauf dieser Initiative wurde das neue, derzeit nicht öffentlich zugängliche KI-Modell Claude Mythos Preview eingesetzt, um mehr als 1000 Open-Source-Softwareprojekte tiefgehend auf Programmierfehler zu analysieren. Die automatisierte Untersuchung brachte insgesamt 23019 potenzielle Code-Schwachstellen aller Komplexitätsstufen hervor. Davon stufte das System 6202 Funde vorab als hohes oder kritisches Risiko für die digitale Infrastruktur ein.
Um diese Ergebnisse unabhängig zu verifizieren, analysierten sechs externe IT-Sicherheitsunternehmen eine Stichprobe von 1752 dieser gemeldeten Hochrisiko-Warnungen. Die manuelle Überprüfung bestätigte eine Trefferquote von 90,6 Prozent, was bedeutet, dass 1587 Warnungen als reale Fehler bestätigt wurden. Innerhalb dieser verifizierten Gruppe wurden 1094 Schwachstellen offiziell als schwerwiegendes hohes oder kritisches Risiko eingestuft, was eine massive Beschleunigung bei der Erkennung von Softwarefehlern im Vergleich zu menschlichen Analysten darstellt.
Überlastung des IT-Sicherheitsökosystems durch automatisierte Funde
Trotz der immensen Anzahl identifizierter Fehler bleibt die Anzahl der offiziell bereitgestellten Systemaktualisierungen und Sicherheitshinweise im Verhältnis gering. Anthropic hat bislang mehr als 1100 unbestätigte Funde an die jeweiligen Softwarehersteller übermittelt, was zu 65 öffentlichen Sicherheitshinweisen und 75 geschlossenen Sicherheitslücken führte. Das KI-Unternehmen nennt drei wesentliche Gründe für dieses langsame Tempo. Erstens befindet sich die Branche innerhalb des üblichen 90-Tage-Fensters für die koordinierte Offenlegung von Schwachstellen, weshalb viele Patches derzeit noch entwickelt werden.
Zweitens korrigieren viele Hersteller Fehler im Stillen, ohne einen offiziellen Hinweis zu veröffentlichen. In diesen Fällen muss Anthropic das Claude-Modell einsetzen, um die Systeme nach den Korrekturen zu scannen. Drittens offenbart das enorme Datenvolumen ein strukturelles Problem. Die Geschwindigkeit der automatisierte Fehlererkennung übertrifft die Verarbeitungskapazitäten menschlicher Entwicklungsteams bei weitem. Das Ökosystem gerät in einen Engpass, da die Sicherheitsabteilungen mit der Flut an Meldungen überlastet sind.
Technische Fallbeispiele bei wolfSSL und Symfony
Die praktischen Durchläufe von Claude Mythos Preview offenbarten gravierende Mängel in weit verbreiteten Softwarebibliotheken. Ein prominentes Beispiel betrifft die quelloffene Kryptographie-Bibliothek wolfSSL, die weltweit in Milliarden vernetzter Geräte implementiert ist. Das KI-Modell entdeckte dort eine kritische Schwachstelle, die unter der Kennung CVE-2026-5194 mit einem CVSS-Schweregrad von 9,1 registriert wurde. Diese Lücke ermöglicht es Angreifern, digitale Zertifikate zu fälschen. Auf dieser Basis könnten manipulierte, täuschend echt aussehende Webseiten für Finanzinstitute oder E-Mail-Provider erstellt werden, um Benutzerdaten abzufangen.
Zudem berichtete das Kernteam des beliebten PHP-Frameworks Symfony, dass Mythos die Codebasis untersucht und 19 separate Sicherheitslücken in den Symfony- und Twig-Systemen identifiziert habe. Eine manuelle Überprüfung durch die Entwickler bestätigte die Korrektheit aller 19 Berichte, was einer Fehlalarmquote von null Prozent entspricht. Das Modell lieferte neben der Entdeckung auch detaillierte Schritt-für-Schritt-Anleitungen zur Ausnutzung sowie konkrete Programmierlösungen zur Behebung der Fehler.
50 Organisationen haben Zugriff auf Mythos
Um den Missbrauch dieses leistungsstarken Modells für offensive Cyberoperationen zu verhindern, beschränkt Anthropic den Zugang auf einen ausgewählten Kreis von etwa 50 Organisationen im Rahmen von Project Glasswing. Zu den Gründungsmitgliedern gehören einflussreiche Technologie- und Sicherheitsunternehmen wie Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, Microsoft, NVIDIA und Palo Alto Networks. Mehrere Teilnehmer meldeten bereits erfolgreiche Testergebnisse.
Die Mozilla Foundation nutzte das Modell zur Überprüfung ihres Browsercodes und schloss daraufhin 271 Schwachstellen im Code von Firefox 150. Mozilla betonte einen deutlichen Technologiesprung im Vergleich zum Vorgängermodell Claude Opus 4.6, das bei der autonomen Erstellung von Exploits fast vollständig versagte. Das Sicherheitsunternehmen XBOW bestätigte ebenfalls, dass Mythos hochentwickelte Fähigkeiten besitzt, um gefundene Sicherheitslücken ohne menschliche Interaktion in komplexe, durchgängige Angriffsketten zu verwandeln, was die Notwendigkeit restriktiver Zugriffskontrollen unterstreicht.
Markteinführung von Claude Security
Als direkte Reaktion auf die veränderte Bedrohungslage hat Anthropic das Werkzeug Claude Security vorgestellt, einen spezialisierten Code-Scanner, der Unternehmenskunden dabei unterstützen soll, Sicherheitsmängel bereits während der Entwicklungsphase zu identifizieren. Auch Google integrierte automatisierte Prüfverfahren in seine Arbeitsabläufe, wobei Experten vermuten, dass die jüngste Häufung von Schwachstellenmeldungen im Webbrowser Chrome das kombinierte Resultat interner Werkzeuge und der Erkenntnisse aus Project Glasswing ist.
Im Gegensatz dazu zeigte das bewährte Open-Source-Datenübertragungswerkzeug Curl eine hohe Resistenz und wies im Verlauf des Mythos-Scans lediglich einen einzigen Fehler mit geringem Schweregrad auf. Anthropic plany, diese Klasse von Modellen in naher Zukunft allgemein verfügbar zu machen. Zuvor müssen jedoch wirksame algorithmische Schutzbarrieren entwickelt werden, um zu garantieren, dass die Technologie nicht von kriminellen Akteuren zur automatisierten Erstellung von Angriffswerkzeugen missbraucht wird. Bis dahin wird Administratoren empfohlen, Patch-Zyklen drastisch zu verkürzen.
