Claude Mythos: KI findet 23.000 Sicherheitslücken in Rekordzeit

Das berichtet der KI-Entwickler in seinem ersten Fortschrittsbericht für Project Glasswing, der am Montag veröffentlicht wurde. Allein im Testzeitraum identifizierte das System bei 50 Partnerorganisationen mehr als 10.000 kritische oder hochriskante Sicherheitslücken.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber-Security-Report herunterladen

Rekordjagd in der Open-Source-Welt

Die Reichweite von Project Glasswing erstreckte sich tief in die Open-Source-Community. Der Claude Mythos Preview analysierte über 1.000 Projekte und meldete insgesamt 23.019 potenzielle Sicherheitsprobleme. Davon stuften die Entwickler 6.202 als hochriskant oder kritisch ein. Die Trefferquote ist beachtlich: 90,6 Prozent der gemeldeten Schwachstellen wurden von Entwicklern und Sicherheitsteams bestätigt.

Anthropic hat umfangreiche Mittel bereitgestellt, um die Behebung der Lücken zu unterstützen: 100 Millionen Euro in Nutzungsguthaben und vier Millionen Euro in direkten Spenden. Der Bericht dokumentiert zudem die Verhinderung einer betrügerischen Überweisung in Höhe von 1,5 Millionen Euro – ein Erfolg der proaktiven Erkennungsfähigkeiten des neuen Modells.

Doch die schiere Menge der Funde offenbart ein Problem: Von 530 offiziell gemeldeten Schwachstellen wurden bislang nur 75 behoben. Immerhin erschienen 88 formale Sicherheitshinweise auf Basis der KI-Erkenntnisse, darunter 1.094 von Dritten unabhängig bestätigte kritische Probleme.

Partnerschaften mit Tech-Giganten

Die Zusammenarbeit mit Amazon, Apple, Google und Microsoft brachte spektakuläre Ergebnisse. Cloudflare etwa entdeckte mit dem Modell rund 2.000 Fehler, davon 400 kritische. Das Unternehmen lobte die geringere Fehlalarmrate im Vergleich zu traditionellen manuellen Prüfverfahren.

Auch der Firefox-Browser profitierte: Mozilla schloss nach der KI-Analyse 271 Schwachstellen in seinem Code. Technische Benchmarks zeigen, dass Mythos 181 realistische Angriffsszenarien gegen Firefox entwickeln konnte – der Vorgänger schaffte gerade einmal zwei.

Besonders eindrucksvoll: Das System deckte einen 17 Jahre alten Fehler im Betriebssystem FreeBSD auf (CVE-2026-4747). Ebenso identifizierte es eine kritische Lücke in der Kryptografie-Bibliothek wolfSSL (CVE-2026-5194), die inzwischen geschlossen wurde.

Während KI-Systeme immer schneller Sicherheitslücken aufspüren, müssen Unternehmen auch die rechtlichen Rahmenbedingungen der Technologie im Blick behalten. Dieser kostenlose Leitfaden zeigt Ihnen die wichtigsten Pflichten und Fristen der neuen EU-KI-Verordnung. Gratis E-Book zur KI-Verordnung sichern

Technische Bestätigung und operative Hürden

Das britische KI-Sicherheitsinstitut AISI bestätigte: Claude Mythos erreicht eine Erfolgsquote von 73 Prozent bei anspruchsvollen Cybersicherheitsaufgaben. Anthropic hatte das Modell am 7. April 2026 als eingeschränktes System mit Sicherheitsvorkehrungen vorgestellt.

Doch die flut der Meldungen überfordert die Entwickler-Community. Ein Maintainer benötigt im Schnitt zwei Wochen, um einen einzigen kritischen Fehler zu beheben. Mehrere Projektverantwortliche baten Anthropic, das Tempo der automatischen Meldungen zu drosseln.

Anthropic reagierte mit einem Cyber-Verifikationsprogramm und integrierte die Sicherheitsfunktionen in die Unternehmenswerkzeuge Claude Code und Claude Security.

Branchenkontext und Kritik

Der Bericht erscheint in einer Zeit wachsender Nachfrage nach Cybersicherheitsexperten. Die Zahl der Stellenausschreibungen stieg im ersten Quartal 2026 um elf Prozent – eine Lücke, die KI-Systeme schließen sollen.

Sicherheitsforscher wie Bruce Schneier warnen jedoch vor den Risiken: Die „Asymmetric“ solcher Werkzeuge könne auch Angreifern nützen, falls die Modelle ohne strenge Kontrollen zugänglich würden.

Die größte Herausforderung bleibt die „Patching-Lücke“ – die Kluft zwischen Tausenden gefundenen und Dutzenden tatsächlich behobenen Fehlern. Entdeckung ist erst die halbe Miete in der modernen Sicherheitslandschaft.

Ausblick: Vom Finden zum Beheben

Anthropic will den Fokus nun von der Entdeckung auf die effizientere Behebung verlagern. Die Integration von Mythos in Entwicklungswerkzeuge deutet darauf hin, dass KI-gestütztes sicheres Codieren bald zum Standard werden könnte. Statt Software nachträglich zu prüfen, könnten Entwickler künftig in Echtzeit Schwachstellen erkennen und beheben.

Die unmittelbare Priorität: das Verhältnis zur Open-Source-Community zu verbessern. Die „Melde-Müdigkeit“ der Maintainer zu überwinden, wird entscheidend sein – sonst bleiben Tausende kritische Fehler ungepatcht und angreifbar.

de | wissenschaft | 69420298 |