Claude Mythos Preview: Chancen und Herausforderungen für die Cybersicherheit

Die Landschaft der Cybersicherheit befindet sich in einem dynamischen Wandel, angetrieben durch Fortschritte in der Künstlichen Intelligenz. Eine jüngste Entwicklung, die in Fachkreisen für intensive Diskussionen sorgt, ist das KI-Modell "Claude Mythos Preview" des Unternehmens Anthropic. Dieses Modell hat in ersten Tests eine bemerkenswerte Fähigkeit zur Identifizierung von Software-Schwachstellen gezeigt, was sowohl Hoffnung als auch Besorgnis in Bezug auf die Zukunft der digitalen Sicherheit weckt.

"Claude Mythos Preview": Eine neue Ära der Schwachstellenanalyse?

Anthropic, ein führendes Unternehmen im Bereich der KI-Forschung, hat mit "Claude Mythos Preview" ein Sprachmodell entwickelt, das sich durch seine Fähigkeiten in Logik, Schlussfolgerung und Code-Analyse auszeichnet. Die Besonderheit dieses Modells liegt nicht nur in der Geschwindigkeit, mit der es Code analysieren kann, sondern auch in seiner Fähigkeit, komplexe, bisher unentdeckte Sicherheitslücken aufzudecken. Berichte zeigen, dass Claude Mythos in der Lage war, Hunderte von Schwachstellen in weit verbreiteter Software zu finden, darunter in Betriebssystemen, Webbrowsern wie Firefox und Kernkomponenten wie dem Linux-Kernel.

Ein prägnantes Beispiel für die Leistungsfähigkeit von Claude Mythos liefert Mozilla: Im April 2026 konnten mithilfe des KI-Modells 423 Sicherheitslücken im Firefox-Browser geschlossen werden. Diese Zahl entspricht in etwa der Menge an Lücken, die zuvor über einen Zeitraum von zwei Jahren entdeckt und behoben wurden. Einigen dieser Schwachstellen, darunter eine, die 20 Jahre unentdeckt blieb, konnten nur durch die fortschrittliche Analyse der KI aufgespürt werden. Dies deutet auf eine neue Dimension der Schwachstellen-Erkennung hin, die über herkömmliche manuelle Prüfungen und teilautomatisierte Scanning-Tools hinausgeht.

Die Funktionsweise der KI bei der Schwachstellenfindung

Die Fähigkeit von Claude Mythos, Sicherheitslücken zu identifizieren, basiert auf einem tiefgreifenden Verständnis von Code. Das Modell ist mit einer großen Menge gut dokumentierter Code-Beispiele trainiert worden. Es kann Text und damit auch Softwarecode in einem größeren Kontext analysieren. Der Prozess, den Anthropic für Mythos beschreibt, umfasst das Lesen von Code, das Bilden einer Hypothese für einen Exploit, das Schreiben eines Proof-of-Concepts und das Testen in einer virtuellen Umgebung, gefolgt von der Erstellung eines detaillierten Bug-Reports. Dies ermöglicht der KI, nicht nur bekannte Schwachstellensignaturen zu erkennen, sondern auch unbekannte Angriffsvektoren durch komplexe Datenkorrelation zu identifizieren.

Die National Institute of Standards and Technology (NIST) definiert Sicherheitslücken als Schwächen in der Logik von Soft- oder Hardware, deren Ausnutzung die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen beeinträchtigen kann. Claude Mythos findet hierbei keine grundsätzlich neuartigen Arten von Schwachstellen, sondern identifiziert meist bekannte, aber bisher unbemerkte Fehler im Code. Dazu gehören beispielsweise sogenannte Buffer Overflows, die entstehen, wenn Programme Eingaben ohne ausreichende Längenüberprüfung zulassen und dadurch Speicherbereiche überschrieben werden.

Das Janusgesicht der KI: Bedrohung und Chance zugleich

Die Entdeckung der weitreichenden Fähigkeiten von Claude Mythos hat eine Debatte über die potenziellen Risiken und Chancen solcher KI-Modelle ausgelöst. Anthropic selbst schätzt das Modell als so mächtig ein, dass es eine Gefahr für die öffentliche Cybersicherheit darstellen könnte, sollte es uneingeschränkt zugänglich gemacht werden. Dies führte zur Entscheidung, das Modell vorerst nicht öffentlich zu veröffentlichen.

Das "Project Glasswing" und die Eindämmung von Risiken

Um den Risiken entgegenzuwirken und gleichzeitig die Vorteile der Technologie zu nutzen, hat Anthropic das "Project Glasswing" ins Leben gerufen. Im Rahmen dieses Projekts erhalten rund 40 große Software-Unternehmen, darunter Microsoft, Google, Apple und die Linux Foundation, Zugang zu Claude Mythos Preview. Ziel ist es, dass diese Partner die KI nutzen, um potenzielle Schwachstellen in ihren eigenen Systemen zu finden und zu beheben, bevor diese von böswilligen Akteuren ausgenutzt werden können. Open-Source-Organisationen erhalten zudem finanzielle Unterstützung, um den Entwicklungsaufwand zu stemmen.

Die Argumente der Kritiker und Befürworter

Die Bedenken konzentrieren sich auf das Potenzial zur "Demokratisierung" und "Industrialisierung" von Cyberangriffen. Kritiker befürchten, dass KI-Modelle wie Claude Mythos Cyberkriminellen und Einzelpersonen ohne tiefgreifende Programmierkenntnisse die Durchführung ausgefeilter Angriffe ermöglichen könnten. Die Geschwindigkeit, mit der die KI Schwachstellen identifiziert, übertrifft menschliche Analysten um ein Vielfaches, was zu einer massiven "Sanierungslücke" führen könnte, da Unternehmen nicht schnell genug Patches bereitstellen können.

Auf der anderen Seite betonen Befürworter, dass dieselbe Technologie, die Angriffe skalieren kann, auch zur Skalierung der Verteidigung eingesetzt werden kann. KI könnte Software-Entwicklern helfen, ihre Software nicht nur automatisiert zu testen, sondern auch automatisiert zu patchen. Konrad Rieck, Leiter des Lehrstuhls für Maschinelles Lernen und Sicherheit der TU Berlin, merkt an, dass die Leistungsfähigkeit von KI zwar überschätzt werde, aber das Finden von Schwachstellen grundsätzlich eine gute Sache sei, da sie früher entdeckt und geschlossen werden könnten. Er prognostiziert, dass die Software insgesamt sicherer werden könnte, sobald die anfängliche Anpassungsphase überwunden ist.

Die Rolle von KI in der Entwicklung von Exploits

Ein beunruhigender Aspekt ist die Fähigkeit der Sprachmodelle, nicht nur Schwachstellen zu finden, sondern auch funktionierende Exploits zu entwickeln. Thorsten Holz vom MPI für Sicherheit und Privatsphäre in Bochum berichtet von Forschungsergebnissen, bei denen Claude Mythos in der Lage war, aus Crash-Reports funktionierende Exploits zu generieren. In einem Test konnte Mythos 160 Lücken ausnutzen, während GPT 5.5 immerhin 120 Lücken aufspürte. Dies unterstreicht das Potenzial der KI, Angriffe weitgehend zu automatisieren.

Auswirkungen auf die Cybersicherheit und die Wirtschaft

Die Entwicklung von KI-Modellen wie Claude Mythos stellt eine Herausforderung für Unternehmen und staatliche Institutionen dar. Das Bundesfinanzministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor erheblichen Risiken für die Finanzstabilität und die kritische Infrastruktur. Die Zeitfenster zwischen der Entdeckung einer Schwachstelle und einem tatsächlichen Cyberangriff könnten sich drastisch verkürzen.

Jonas Geiping von der Universität Tübingen äußert die Besorgnis, dass insbesondere kleine und mittelständische Unternehmen in Deutschland ins Hintertreffen geraten könnten, wenn die Sicherstellung der Software nur durch teure Top-Modelle aus den USA möglich ist. Dies wirft Fragen nach der Notwendigkeit von Schutzmaßnahmen für die heimische Software-Industrie auf.

Die Europäische Union prüft bereits, ob Claude Mythos unter den AI Act fällt und als "Hochrisiko-KI" einzustufen ist, was strenge Auflagen zur Folge hätte. International wird über globale Standards für KI-gestützte Vulnerability-Assessment-Tools diskutiert, um eine Balance zwischen Innovation und Sicherheit zu finden.

Fazit und Ausblick

Claude Mythos markiert einen Wendepunkt in der Cybersicherheit. Die Fähigkeit der KI, Schwachstellen in Rekordzeit zu finden und sogar Exploits zu entwickeln, eröffnet neue Möglichkeiten für die Verteidigung, birgt aber auch erhebliche Risiken durch eine potenzielle Bewaffnung der Technologie. Die Situation erfordert eine umfassende Neuausrichtung der Sicherheitsstrategien von Unternehmen und staatlichen Akteuren.

Die Zukunft der Cybersicherheit wird maßgeblich davon abhängen, wie schnell und effektiv Unternehmen und Regierungen auf diese neuen Gegebenheiten reagieren. Dies beinhaltet die Investition in KI-basierte Verteidigungssysteme, die Beschleunigung von Patching-Zyklen und eine verstärkte internationale Zusammenarbeit. Es geht darum, die Geschwindigkeit der KI nicht nur für Angriffe, sondern auch für eine proaktive und resiliente Verteidigung zu nutzen, um die digitale Infrastruktur langfristig zu sichern.

Bibliography: - T3N.de. "Claude Mythos: Wie Anthropics KI die Cyber-Security herausfordert". Wolfgang Stieler. Veröffentlicht am 14.05.2026. - Ingenieur.de. "Anthropic KI „Claude Mythos“: Wie gefährlich ist die neue Hacker-KI?". Fabian Kurmann. Veröffentlicht am 09.04.2026. - Online24.de. "Claude Mythos: Anthropic-KI entdeckt 27 Jahre alte Lücken". Veröffentlicht am 10.04.2026. - Business Insider. "Mozilla hat Claude Mythos getestet – die KI fand Hunderte Bugs". Ben Shimkus. Veröffentlicht am 09.05.2026. - Scinexx.de. "KI: Wie gefährlich ist Claude Mythos? - Eine Anthropic-KI, globale Sicherheitslücken und das Projekt Glasswing". Nadja Podbregar. Veröffentlicht am 13.04.2026. - CIO.de. "KI-Waffe Claude Mythos: Neue Bedrohung hebelt IT-Sicherheit aus". dpa (Deutsche Presse-Agentur). Veröffentlicht am 12.05.2026. - Computer Weekly. "Claude Mythos und KI-basierte Schwachstellen-Erkennung". Jonathan Zanger. Veröffentlicht am 19.04.2026. - Heise.de. "Dank KI: Im April so viele Firefox-Lücken geschlossen wie vorher in zwei Jahren". Martin Holland. Veröffentlicht am 08.05.2026. - Creati.ai. "Anthropics Claude Mythos findet Sicherheitslücken schneller, als Unternehmen sie beheben können". Veröffentlicht am 15.04.2026. - Heute.at. "Browser-Sicherheit – KI Claude Mythos findet 423 Lücken im Firefox-Browser". Veröffentlicht am 08.05.2026.