Thought Leadership
Anthropic will sein hochentwickeltes KI-Modell Claude Mythos nach dem Aufbau strenger Sicherheitsbarrieren für die allgemeine Öffentlichkeit freigeben.
Die US-amerikanische Entwicklerfirma Anthropic hat ihre Absicht bekannt gegeben, hochentwickelte Modelle für künstliche Intelligenz der sogenannten Mythos-Klasse in Zukunft für die allgemeine Öffentlichkeit freizugeben. Das zur Erkennung und Ausnutzung von Software-Schwachstellen konzipierte System Claude Mythos Preview wurde im April 2026 vorgestellt und befindet sich seitdem unter strengem Verschluss. Aufgrund des inhärenten Risikos, dass cyberkriminelle Akteure die Technologie zur automatisierten Erstellung von Schadcode und zur Ausnutzung von Sicherheitslücken missbrauchen könnten, beschränkte das Unternehmen den Zugriff zunächst auf einen ausgewählten Kreis.
Die Verteilung erfolgt im Rahmen einer geschlossenen Sicherheitsinitiative namens Project Glasswing. In einem aktuellen Statusbericht kündigte Anthropic jedoch an, das Modell nach der Entwicklung weitreichender Schutzmechanismen allgemein verfügbar zu machen. Ein konkreter Zeitrahmen für diese Veröffentlichung wurde von dem Unternehmen bislang nicht benannt, da die Implementierung wirksamer algorithmischer Barrieren eine technologische Herausforderung darstellt.
Ausweitung der Partnerschaften mit staatlichen Akteuren
Vor einer vollständigen Marktöffnung plant Anthropic eine kontrollierte Erweiterung des bestehenden Partnernetzwerks. Das Unternehmen arbeitet gezielt mit kritischen Partnern zusammen, zu denen insbesondere die Regierungen der Vereinigten Staaten und verbündeter Staaten gehören, um den Zugang zu Project Glasswing schrittweise auszuweiten. Das enorme Potenzial des Modells hat bereits im Vorfeld zu regulatorischen Reaktionen auf internationaler Ebene geführt. So ordnete die japanische Regierung nach der offiziellen Bekanntgabe der Modellfähigkeiten eine umfassende Überprüfung der nationalen Sicherheitsarchitektur an.
Gleichzeitig wiesen die indischen Behörden Finanzinstitute und Banken an, eine großflächige Patch-Kampagne durchzuführen, um bekannte Schwachstellen präventiv zu schließen. Diese staatlichen Reaktionen verdeutlichen die wachsende Erkenntnis, dass auch weniger leistungsfähige KI-Modelle zunehmend für die Fehlersuche eingesetzt werden und Cyber-Verteidiger mit einer beschleunigten Weaponisierung von Software-Mängeln durch Angreifer rechnen müssen.
Claude Mythos hat True-Positive-Rate von 90 Prozent
Die Notwendigkeit strenger Kontrollen wird durch die quantitativen Ergebnisse der bisherigen Testläufe untermauert. Anthropic nutzte Claude Mythos Preview für systematische Überprüfungen von mehr als 1000 Open-Source-Softwareprojekten. Diese Projekte bilden das fundamentale Rückgrat eines Großteils der weltweiten IT-Infrastruktur und sichern auch die internen Systeme des KI-Entwicklers ab. Im Zuge dieser automatisierten Massen-Scans identifizierte das Modell insgesamt 23019 potenzielle Code-Mängel.
Davon stufte das System 6202 Funde vorab als hohes oder kritisches Risiko ein. Um die Qualität dieser automatischen Funde zu evaluieren, wurde eine Stichprobe von 1752 der als schwerwiegend eingestuften Warnungen einem detaillierten Prüfprozess unterzogen. Die manuelle Verifikation durch externe IT-Sicherheitsunternehmen ergab eine True-Positive-Rate von 90,6 Prozent, was 1587 validen Fehlern entspricht. Innerhalb dieser bestätigten Gruppe wurden 1094 Schwachstellen final als hohes oder kritisches Sicherheitsrisiko eingestuft.
Überlastung der Open-Source-Maintainer und Patch-Verzögerungen
Die hohe Geschwindigkeit, mit der das Modell Schwachstellen aufspürt, stellt das Open-Source-Ökosystem vor erhebliche logistische Probleme. Bislang wurden 530 der verifizierten Hochrisiko-Mängel an die jeweiligen Software-Entwickler gemeldet. Von diesen gemeldeten Fehlern wurden bisher jedoch nur 75 Schwachstellen durch ein offizielles Update geschlossen, und für lediglich 65 Fälle liegen öffentliche Sicherheitshinweise vor. Anthropic begründet diese verhältnismäßig niedrige Korrekturquote unter anderem mit dem laufenden 90-Tage-Fenster, das in der hauseigenen Richtlinie für die koordinierte Offenlegung von Schwachstellen verankert ist.
Ein wesentlicherer Faktor ist jedoch die akute Überlastung der menschlichen Entwicklerteams. Mehrere Maintainer von systemkritischen Open-Source-Projekten berichteten, dass sie mit der schieren Masse an automatisierten Berichten überfordert sind. Da viele Entwickler im Freizeitbereich agieren, fehlen die personellen Kapazitäten, um Hunderte komplexe Code-Korrekturen zeitnah zu validieren, weshalb einige Teams Anthropic offiziell darum baten, die Offenlegungsrate zu drosseln.
Unzureichende Schutzbarrieren und der Ausblick auf Abwehrmodelle
Das übergeordnete Dilemma bei der Bereitstellung solcher Systeme liegt in ihrer dualen Natur. Dieselben Fähigkeiten, die Verteidiger zur präventiven Absicherung ihrer Systeme nutzen, können von Kriminellen zur massenhaften Infiltration missbraucht werden. Anthropic räumte in seinem Statusbericht offen ein, dass zum aktuellen Zeitpunkt kein Unternehmen weltweit über Schutzbarrieren verfügt, die stark genug sind, um einen Missbrauch von Modellen dieser Leistungsklasse verlässlich zu verhindern.
Die herkömmlichen algorithmischen Filter und Einschränkungen, wie sie bei kommerziell verfügbaren Systemen implementiert sind, greifen bei der tiefen logischen Code-Analyse zu kurz. Für Sicherheitsabteilungen in Unternehmen bedeutet diese Entwicklung, dass sie sich auf eine veränderte Bedrohungslage einstellen müssen. Anthropic empfiehlt überlasteten IT-Teams, den Einsatz spezialisierter KI-Assistenten zu forcieren, um die Entwicklung von Patches zu beschleunigen. Eine vorausschauende IT-Governance muss Patch-Zyklen drastisch verkürzen, da die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer aktiven Ausnutzung durch die Automatisierung der Angreifer extrem zusammenschrumpft.
