Claude Mythos: Der Sicherheitslückenaufspürer

Software hat Fehler. Manche sind harmlos, andere schlummern jahrzehntelang unentdeckt. Anthropic hat mit „Claude Mythos Preview" ein neues KI-Modell vorgestellt, das Tausende unbekannte Sicherheitslücken in Software aufspüren soll. 

27 Jahre verborgen – in Stunden gefunden

Claude Mythos Preview hat laut Anthropic Tausende schwerwiegende Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern identifiziert. Drei Funde stechen besonders hervor:

• Eine 27 Jahre alte Lücke im Betriebssystem OpenBSD, das als besonders sicher gilt.

• Eine 16 Jahre alte Schwachstelle in der Videosoftware FFmpeg – automatisierte Tests hatten die betroffene Code-Zeile zuvor fünf Millionen Mal geprüft, ohne den Fehler zu erkennen.

• Mehrere verkettete Schwachstellen im Linux-Kernel, über die Angreifer vollständige Kontrolle über einen Server hätten erlangen können.

  
  

Das US-amerikanische KI-Unternehmen hat alle Lücken an die jeweiligen Softwarehersteller gemeldet. Diese haben sie bereits geschlossen. Das Besondere: Das KI-Modell lief dabei fast vollständig autonom – ohne dass Menschen es steuerten.

Anthropic stellt Claude Mythos bewusst nicht öffentlich bereit – aus gutem Grund. Mythos erkennt sogenannte Zero-Day-Schwachstellen. Das sind Fehler in Programmen, die weder der Hersteller noch Sicherheitsforscher bisher kannten. In den falschen Händen könnte diese Fähigkeit erheblichen Schaden anrichten. 

Project Glasswing

Deshalb hält Anthropic Claude Mythos unter Verschluss. Nicht ganz, denn einige wenige Auserwählte können das KI-Modell nutzen, um bei sich Schwachstellen zu entdecken und letztlich auch auszumerzen. 

Zum exklusiven Kreis des „Project Glasswing" gehören Tech-Größen wie Amazon Web Services (AWS), Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike und die Linux Foundation – insgesamt mehr als 40 Organisationen. Anthropic investiert bis zu 100 Millionen US-Dollar an Nutzungsguthaben, damit die Partner ihre Systeme prüfen und absichern können.

Namensgeber ist übrigens eine lateinamerikanische Schmetterlingsart aus der Familie der Edelfalter. Der Glasflügelfalter, auf Englisch „Glasswing", zeichnet sich vor allem dadurch aus, dass er durchsichtige Flügel besitzt. Auf ähnliche Weise soll auch das Project Glasswing für Durchblick sorgen. 

Auch das BSI erwartet „Umwälzungen"

In Deutschland schlägt das Thema ebenfalls Wellen. BSI-Präsidentin Claudia Plattner erwartet laut dpa „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt". Mittelfristig gebe es womöglich keine unbekannten klassischen Software-Schwachstellen mehr. Das berühre auch Fragen nationaler und europäischer Sicherheit.

Was Mittelständler jetzt tun sollten

Project Glasswing sendet eine klare Botschaft: IT-Sicherheit wird noch dringlicher. Drei Schritte helfen sofort:

1. Updates schneller einspielen. Wenn ein KI-Modell Schwachstellen in Stunden findet, schrumpft das Zeitfenster zum Reagieren drastisch.

2. Systeme häufiger prüfen. Ein Penetrationstest alle sechs Monate reicht künftig nicht mehr aus. KI-gestützte Werkzeuge machen regelmäßige Tests wirtschaftlicher.

3. KI-Kompetenz gezielt aufbauen. Wer die Technologie versteht, schätzt Risiken besser ein – und nutzt Chancen schneller.

   
   

Sie möchten KI sicher und DSGVO-konform in Ihrem Unternehmen einsetzen? vAudience unterstützt Sie dabei – von der Strategie bis zum praxisnahen Training. Sprechen Sie uns an.

Glossar

• Claude Mythos Preview: Ein nicht öffentlich verfügbares KI-Modell von Anthropic, das besonders leistungsfähig beim Erkennen von Software-Schwachstellen ist.

• Linux-Kernel: Das zentrale Programm des Betriebssystems Linux, das auf den meisten Servern weltweit läuft.

• OpenBSD: Ein Betriebssystem, das für seinen besonders hohen Sicherheitsstandard bekannt ist.

• Penetrationstest: Ein gezielter Angriff auf die eigene IT-Infrastruktur, um Schwachstellen zu finden, bevor echte Angreifer es tun. Fachleute sprechen kurz von „Pentest".

• Zero-Day-Schwachstelle: Ein Fehler in Software, den der Hersteller noch nicht kennt und deshalb nicht schließen konnte. „Zero Day" bedeutet: null Tage Zeit zum Reagieren.

Quellen

• Anthropic: „Project Glasswing: Securing critical software for the AI era"

• Der Spiegel: „Anthropic: KI findet tief versteckte Software-Schwachstellen"

• Frankfurter Allgemeine Zeitung: „Claude Mythos von Anthropic: Eine KI, von der jeder Hacker träumt"

• heise online: „Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeit"

• Süddeutsche Zeitung: „Claude Mythos: Anthropics neues KI-Modell ist angeblich zu gefährlich für Öffentlichkeit"

• ZDF heute: „Claude Mythos von Anthropic: BSI zeigt sich besorgt"