Anfang April hatte Anthropic rund 50 ausgewählte Partner eingeladen, ihr KI-Sicherheitsmodell Claude Mythos Preview auf ihre eigenen Codebasen loszulassen. Das Ergebnis: über 10.000 Schwachstellen mit hoher oder kritischer Einstufung in wenigen Wochen. Jetzt öffnet Anthropic das Programm für rund 150 weitere Organisationen - und schärft dabei die Warnung, warum das schnell gehen muss.
Wasser, Strom, Krankenhäuser: Wer jetzt Zugang bekommt
Die neuen Partner sitzen laut Anthropic in mehr als 15 Ländern und betreiben Infrastruktur, die weit über nationale Grenzen hinausreicht. Im Vergleich zur ersten Kohorte kommen ganz neue Branchen dazu: Energieversorger, Wasserwerke, Krankenhäuser, Telekommunikationsanbieter und Hardware-Hersteller. Besonders viele der neuen Partner sind sogenannte Vendors - Unternehmen oder gemeinnützige Organisationen, deren Software von Tausenden anderen Firmen und Regierungen weltweit genutzt wird.
Anthropic formuliert das Aufnahmekriterium unmissverständlich: Ein erfolgreicher Angriff auf die Codebasis jedes Partners könnte nach eigener Schätzung über 100 Millionen Menschen betreffen und Folgen für die nationale und globale Sicherheit haben.
Das eigentliche Problem: Flicken ist langsamer als Finden
Die 10.000 gefundenen Schwachstellen klingen nach einem Erfolg - und sind gleichzeitig das neue Problem. Denn der Engpass liegt nicht mehr beim Aufspüren, sondern beim Verifizieren, Offenlegen und Patchen der Lücken. Mythos Preview kann Sicherheitslücken zehnmal schneller identifizieren als menschliche Teams. Aber die Korrektur-Pipeline dahinter war auf dieses Tempo nicht ausgelegt.
Anthropic reagiert darauf mit einem neuen Produkt: Claude Security nutzt das öffentlich verfügbare Modell Claude Opus 4.8, um Codebasen zu scannen und direkt Patch-Vorschläge zu generieren. Gleichzeitig gibt Anthropic die intern entwickelten Glasswing-Tools auf Anfrage an vertrauenswürdige Sicherheitsteams weiter. Partner setzen Mythos Preview inzwischen auch für Penetrationstests, automatische Bedrohungserkennung und die Umstellung von Legacy-Code auf speichersichere Sprachen ein.
Die Uhr tickt: Mythos-Klasse-Modelle in 6 bis 12 Monaten überall
Anthropic sagt offen, warum das Programm so schnell wächst: Innerhalb von sechs bis zwölf Monaten werden nach eigener Einschätzung auch andere KI-Unternehmen Modelle auf Mythos-Niveau besitzen - und sie womöglich ohne Schutzmaßnahmen gegen Missbrauch veröffentlichen. In einer solchen Welt, so der Blogpost, könnten Cyberangriffe „deutlich häufiger und in weit unberechenbareren Formen" auftreten.
Genau deshalb will Anthropic Mythos-Fähigkeiten langfristig allgemein zugänglich machen. Doch dafür fehlen laut eigener Aussage noch die nötigen Safeguards, die verhindern, dass dieselben Fähigkeiten für Angriffe statt Verteidigung missbraucht werden. In der Zwischenzeit setzt Anthropic auf kontrollierte Erweiterung: ein neues Cyber Verification Program soll Mythos-Klasse-Fähigkeiten für spezifische Verteidigungsaufgaben an noch mehr Organisationen vergeben.
🎯 Was das für die Praxis bedeutet
1. Sicherheitsaudits beschleunigen: Wer kritische Infrastruktur oder weit verbreitete Software betreibt, sollte prüfen, ob eine Teilnahme am Glasswing-Programm oder die Nutzung von Claude Security möglich ist.
2. Patch-Prozesse überdenken: Das Finden von Schwachstellen ist nicht mehr der Flaschenhals - das systematische Beheben schon. Teams brauchen Workflows, die mit dem Tempo KI-gestützter Audits mithalten.
3. Zeitfenster nutzen: Anthropics Einschätzung, dass Mythos-Klasse-Modelle in unter einem Jahr breit verfügbar sein werden, macht proaktives Patching zur Pflicht - bevor Angreifer dieselben Werkzeuge einsetzen.
