Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

Claude Mythos findet tausende kritische Schwachstellen in Software : Anthropic warnt vor neuer Ära im Rennen um KI-gestützte Angriffserkennung und -Verteidigung

Künstliche Intelligenz verändert die Cybersicherheit rasant: Mit dem Projekt Glasswing hat Anthropic innerhalb weniger Wochen mehr als 10.000 schwerwiegende Schwachstellen in weltweit genutzter Software identifiziert. Die Ergebnisse zeigen, wie stark KI-Modelle inzwischen Sicherheitsanalysen automatisieren – und warum Unternehmen ihre Patch-Prozesse beschleunigen müssen.

THN/Stefan Mutschler (freier Journalist)BedrohungenSecurity-Management
Lesezeit 2 Min.

Anthropic hat mit „Project Glasswing“ eine Sicherheitsinitiative vorgestellt, die gezielt kritische Software-Infrastrukturen absichern soll. Kern des Projekts ist der experimentelle KI-Ansatz „Claude Mythos Preview“, der Schwachstellen in weit verbreiteter Software autonom aufspüren kann, noch bevor Angreifer sie ausnutzen.

Laut Anthropic wurden seit dem Start des Projekts mehr als 10.000 Schwachstellen mit hoher oder kritischer Einstufung erkannt. Davon betreffen 6.202 Sicherheitslücken über 1.000 Open-Source-Projekte. Nach manueller Analyse bestätigten sich 1.726 Treffer als valide Schwachstellen, darunter 1.094 mit hoher oder kritischer Gefährdung.

Fokus auf Kritische Infrastruktur

Das Projekt richtet sich an rund 50 ausgewählte Partner aus sicherheitsrelevanten Bereichen. Sie erhalten frühen Zugriff auf das Modell, um besonders wichtige Systeme abzusichern. Anthropic spricht von den „systemisch wichtigsten“ Softwarekomponenten weltweit.

Ein konkretes Beispiel ist eine kritische Schwachstelle in WolfSSL mit der Kennung CVE-2026-5194 und einem CVSS-Wert von 9,1. Die Lücke hätte es Angreifern ermöglicht, Zertifikate zu fälschen und sich als vertrauenswürdiger Dienst auszugeben. Insgesamt führten die Untersuchungen bislang zu:

  • 97 behobenen Sicherheitslücken
  • 88 veröffentlichten Sicherheitswarnungen

Anthropic beschreibt dabei ein strukturelles Problem moderner IT-Sicherheit: „Die relative Einfachheit, Schwachstellen zu finden, verglichen mit der Schwierigkeit, sie zu beheben, stellt eine große Herausforderung für die Cybersicherheit dar.

KI beschleunigt Schwachstellenforschung

Die Entwicklung zeigt, wie stark KI inzwischen die klassische Vulnerability Research verändert. Softwarehersteller veröffentlichen bereits deutlich mehr Sicherheitsupdates als noch vor wenigen Jahren. Microsoft erwartet nach eigenen Angaben, dass die Zahl monatlicher Patches „für einige Zeit weiter ansteigen“ werde.

Besonders auffällig ist die Fähigkeit von Mythos Preview, Quellcode gezielt unter Sicherheitsaspekten zu analysieren. Die autonome Offensive-Security-Plattform XBOW bezeichnet das Modell als „großen Fortschritt“, der deutlich besser als frühere KI-Systeme darin sei, verwertbare Schwachstellenkandidaten zu identifizieren. Zudem könne das Modell Sicherheitslücken erfolgreich zu vollständigen Angriffsketten kombinieren.

Damit verschiebt sich der Schwerpunkt in der Verteidigung zunehmend auf schnelle Reaktionszeiten. Anthropic fordert Unternehmen deshalb ausdrücklich auf, Patch-Zyklen zu verkürzen und Sicherheitsupdates schneller auszurollen. Als Beispiel nennt das Unternehmen Oracle, das inzwischen auf monatliche Sicherheitsupdates umgestellt hat.

Mehr Druck auf Verteidiger

Neben schnelleren Updates empfiehlt Anthropic zusätzliche Schutzmaßnahmen:

  • Härtung von Standardkonfigurationen
  • Konsequente Multi-Faktor-Authentifizierung (MFA)
  • Umfassende Protokollierung für Erkennung und Reaktion

Wie vielseitig die Modelle inzwischen arbeiten, zeigt ein weiterer Vorfall aus dem Glasswing-Programm: Eine Partnerbank konnte mithilfe der KI einen betrügerischen Überweisungsversuch über 1,5 Millionen US-Dollar stoppen. Angreifer hatten zuvor ein E-Mail-Konto kompromittiert und zusätzlich gefälschte Telefonanrufe eingesetzt.

Sicherheitsforschung ohne Schutzmechanismen

Parallel dazu startete Anthropic ein „Cyber Verification Program“. Es erlaubt verifizierten Sicherheitsexperten, die Modelle ohne die üblichen Schutzmechanismen für legitime Zwecke wie Penetrationstests, Red Teaming oder Schwachstellenforschung einzusetzen. Ein ähnliches Konzept verfolgt OpenAI mit „Daybreak“ und GPT-5.5-Cyber.

Öffentlich verfügbar sind Modelle wie Mythos Preview bislang jedoch nicht. Hintergrund sind Sorgen vor Missbrauch im großen Maßstab. Anthropic betont daher, dass Verteidiger dringend einen technologischen Vorsprung benötigen: „Glasswing hilft den wichtigsten Cyber-Verteidigern, einen asymmetrischen Vorteil zu gewinnen.“

Weitere Artikel zum Thema:

Cyberkriminelle missbrauchen Claude

Project Glasswing offenbart die wahre Schwachstelle der Cybersicherheit

Verschärfte Konkurrenz unter KI-Anbietern: Claude-Fähigkeiten massiv abgegriffen

Nützlich, aber gefährlich

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.