KI als Cyberrisiko: Wie Mythos Sicherheitslücken aufdeckt und was das bedeutet

Die Cybersecurity-Community reagierte alarmiert, als Anthropic am 7. April 2026 bekannt gab, dass sein neuestes Sprachmodell Claude Mythos Preview unerwartete Fähigkeiten gezeigt hatte. Das KI-System entdeckte und nutzte Software-Schwachstellen in einem bisher unbekannten Ausmaß. Die Ankündigung löste Besorgnis bei Regierungen, Unternehmen und der Öffentlichkeit aus: Könnte Mythos die Cybersicherheit weltweit gefährden?

Anthropic zog die Konsequenzen und verzichtete auf eine sofortige Veröffentlichung. Stattdessen gewährte das Unternehmen ausgewählten Tech-Konzernen exklusiven Zugang für Tests im Rahmen des Projekts "Glasswing". Als Cybersecurity-Forscher sehe ich Mythos’ Fähigkeiten zwar als beeindruckend an, doch das Modell stellt keine radikale Neuerung dar. Es offenbart vielmehr, wie fragil moderne Systeme sind und wie Menschen mit ihnen umgehen.

Was Mythos leistete

In einer kontrollierten Testumgebung wurden unerfahrene Ingenieure damit beauftragt, Mythos auf Tausende von Codebasen anzusetzen. Das Ergebnis: Das KI-System führte autonome, mehrstufige Angriffe durch – eine Aufgabe, für die menschliche Experten Wochen oder Monate benötigen. Mythos entdeckte nicht nur 271 Schwachstellen in Mozillas Firefox, sondern entwickelte auch Exploits für 181 davon.

Laut Berichten des AI Security Institute und von Anthropics eigenem Red-Team fand Mythos tausende bisher unbekannte Zero-Day-Lücken in Betriebssystemen, Browsern und Anwendungen. Diese Schwachstellen waren noch nicht gepatcht und konnten sofort ausgenutzt werden. Selbst die NSA zeigte sich beeindruckt von Mythos’ Geschwindigkeit und Effizienz bei der Schwachstellensuche.

Besondere Funde: Von OpenBSD bis FFmpeg

Besonders auffällig waren Mythos’ Entdeckungen: Ein 27 Jahre alter, ungenutzter Sicherheitsfehler in OpenBSD – einem Betriebssystem mit Fokus auf Sicherheit – sowie eine 16 Jahre alte Lücke in FFmpeg, einem Tool zur Audio- und Videoverarbeitung. Einige dieser Schwachstellen ermöglichen es unautorisierten Nutzern, die Kontrolle über die betroffenen Systeme zu übernehmen.

Noch bemerkenswerter: Unerfahrene Tester schafften es mit Mythos, innerhalb einer Nacht vollständige Angriffe durchzuführen – von der Schwachstellensuche bis zur Ausnutzung. Für menschliche Experten wäre dies eine Aufgabe von mehreren Wochen. Die Fähigkeit, mehrere Schritte zu verknüpfen, überraschte selbst Anthropic und andere Tester.

Ein unvollständiges Bild?

Die Ergebnisse sind real, doch sie vermitteln nur ein unvollständiges Bild. Wo liegt der tatsächliche Durchbruch? Auf den ersten Blick wirkt Mythos’ Leistung neuartig und könnte auf eine neue Klasse von KI-Risiken hindeuten. Doch bei genauerer Betrachtung zeigt sich: Mythos ist weniger eine Bedrohung als vielmehr ein Indikator für bestehende Systemschwächen.

Die Frage bleibt: Handelt es sich bei Mythos um ein isoliertes Phänomen – oder um den Vorboten einer neuen Ära, in der KI-Systeme Sicherheitslücken schneller finden als menschliche Experten sie beheben können?

Fazit: Mythos als Weckruf

Anthropics Entscheidung, Mythos nicht sofort zu veröffentlichen, unterstreicht die Dringlichkeit, mit der die Cybersecurity-Branche auf solche Entwicklungen reagieren muss. Während Mythos selbst kein neues Risiko darstellt, zeigt es doch, wie anfällig moderne Software ist. Die eigentliche Herausforderung liegt nicht in der KI selbst, sondern in der Frage, wie wir mit den Schwachstellen umgehen, die sie aufdeckt.

Die Diskussion um Mythos sollte daher nicht nur die Fähigkeiten der KI, sondern auch die Verantwortung von Entwicklern, Unternehmen und Regierungen in den Fokus rücken: Wie können wir Systeme sicherer machen, bevor KI-Systeme wie Mythos sie noch schneller finden?