Jeden Morgen bekomme ich eine Zusammenfassung der wichtigsten Nachrichten aus dem KI Bereich. Das ist meine Routine, die ersten Minuten am Rechner gehören den News. Heute bin ich bei Anthropic hängengeblieben. Nicht wegen der Partner, nicht wegen der Benchmarks. Wegen einer Sache: Eine Sicherheitslücke in OpenBSD, 27 Jahre alt, nie entdeckt. OpenBSD, das Betriebssystem, das Sicherheitsforscher oft als Referenz nennen, wenn sie erklären wollen, wie man es richtig macht. Quellcode, den hunderte Experten über Jahrzehnte geprüft haben. Gefunden hat es ein KI Modell, das dafür keinen Menschen brauchte. Das ist April 2026 und ich glaube, wir unterschätzen gerade, was das für die KI Cybersicherheit bedeutet.
Was hier gerade passiert
Anthropic hat Anfang April Project Glasswing vorgestellt. Die Partnerliste ist bemerkenswert, nicht weil da große Namen draufstehen, sondern weil es Konkurrenten sind, die sich normalerweise juristisch beharken: AWS, Apple, Google, Microsoft, NVIDIA, dazu Cisco, CrowdStrike, Palo Alto Networks, Broadcom, JPMorganChase und die Linux Foundation. Zwölf Organisationen, die offenbar zu dem Schluss gekommen sind, dass das hier wichtiger ist als Marktanteile.
Im Zentrum steht ein unveröffentlichtes Spitzenmodell namens Claude Mythos Preview. Anthropic hat es auf die Software losgelassen, die unsere Infrastruktur zusammenhält. Banken, Krankenhäuser, Stromnetze, Logistikketten. Und Mythos hat in allem, wirklich allem, bisher unbekannte Schwachstellen gefunden. In jedem großen Betriebssystem. In jedem großen Webbrowser. Tausende Lücken.
In FFmpeg, der Videobibliothek, die in praktisch jedem Medienprogramm der Welt steckt, hat Mythos einen 16 Jahre alten Fehler entdeckt. Das Irre daran: Automatisierte Testwerkzeuge waren über diese eine Zeile fünf Millionen Mal gelaufen. Fünf Millionen Durchläufe in sechzehn Jahren und keines dieser Werkzeuge hat den Fehler gesehen. Beim Linux Kernel ging Mythos noch weiter. Es hat selbstständig mehrere Schwachstellen gefunden, sie kombiniert und daraus eine funktionierende Angriffskette gebaut. Rein als normaler Nutzer, raus mit voller Kontrolle über das System. Ohne dass ein Mensch dem Modell gesagt hätte, wonach es suchen soll.
Dieselbe Münze, zwei Seiten
Und genau hier wird es heikel. Denn alles, was Mythos Preview für die Verteidigung so brauchbar macht, funktioniert in die andere Richtung genauso. Ein staatlicher Angreifer, ein kriminelles Netzwerk, irgendwann ein gelangweilter Teenager mit dem richtigen Modell auf dem Rechner — sie alle können dieselbe Fähigkeit nutzen, um Schwachstellen zu finden und auszunutzen, bevor irgendjemand sie behebt. Das ist das Doppelverwendungsdilemma der KI Cybersicherheit und je länger ich darüber nachdenke, desto weniger sehe ich einen guten Ausweg.
Die Vergleichstests machen den Sprung greifbar. Im CyberGym, einem Maßstab für das Reproduzieren von Schwachstellen, erreicht Mythos Preview 83,1 Prozent. Claude Opus 4.6, das nächstbeste Modell, kommt auf 66,6 Prozent. Das ist kein schrittweiser Fortschritt, das ist eine andere Dimension.
Auf der Projektseite steht ein Satz, der mir nicht mehr aus dem Kopf geht. Anthropic schreibt, dass es nicht mehr lange dauern wird, bis solche Fähigkeiten auch bei Akteuren landen, die sie nicht verantwortungsvoll einsetzen. Das ist wahrscheinlich der ehrlichste Satz, den ein KI Unternehmen dieses Jahr veröffentlicht hat.
In welcher Welt das landet
Die geschätzten globalen Kosten von Cyberkriminalität liegen laut Governance.ai bei rund 500 Milliarden Dollar pro Jahr. Dahinter stehen echte Krisen: WannaCry hat 2017 britische Krankenhäuser lahmgelegt, Operationen mussten abgesagt werden. Der SolarWinds Angriff hat US Behörden monatelang kompromittiert, ohne dass es jemand bemerkt hat. Colonial Pipeline hat 2021 die Treibstoffversorgung der amerikanischen Ostküste unterbrochen.
Für solche Angriffe brauchte man Spezialisten, die ihr Handwerk über Jahre aufgebaut haben und nur wenige Menschen weltweit konnten das. Mit Modellen der Mythos Klasse kippt dieses Verhältnis. Was ein spezialisiertes Handwerk war, wird zu etwas, das sich mit Rechenleistung und dem richtigen Modell industriell betreiben lässt.
Was das über unseren Quellcode sagt
Der eigentliche Weckruf von Glasswing steckt für mich nicht in den Tests. Er steckt in den fünf Millionen Durchläufen bei FFmpeg. Sechzehn Jahre automatisiertes Testen und der Fehler war die ganze Zeit da. Sichtbar für ein Modell, unsichtbar für alles, was wir bisher hatten.
Wie viel von dem Quellcode, auf dem die Welt läuft, ist eigentlich solide? Der globale Programmbestand ist über Jahrzehnte gewachsen. Schicht auf Schicht, Bibliothek auf Bibliothek, Abhängigkeit auf Abhängigkeit. Geschrieben von Menschen, unter Zeitdruck, mit den Werkzeugen und dem Wissen ihrer Zeit. Niemand konnte diesen Quellcode jemals vollständig lesen. Die Menge ist zu groß, die Wechselwirkungen sind zu unübersichtlich.
Mythos Preview zeigt, dass es jetzt Werkzeuge gibt, die Quellcode in einer Tiefe lesen können, die über menschliche Kapazität hinausgeht. Und das betrifft nicht nur Sicherheitslücken. Wenn ein Modell in einem der am besten geprüften Betriebssysteme der Welt einen 27 Jahre alten Fehler findet, was steckt dann in weniger geprüfter Software? In den Millionen Zeilen Altbestandscode, die bei Banken, Versicherungen und Behörden laufen? In der Steuerungssoftware von Industrieanlagen? In quelloffenen Bibliotheken, die alles zusammenhalten, aber von einer Handvoll Leuten in ihrer Freizeit betreut werden?
Ich bin überzeugt, dass wir am Anfang einer Phase stehen, in der der gesamte bestehende Programmbestand neu bewertet werden muss. Nicht irgendwann, sondern in den nächsten Jahren. Die Werkzeuge dafür existieren jetzt. Und sie werden auch in den Händen derer landen, die nach Schwachstellen suchen, um sie auszunutzen.
Was du damit anfangen kannst
Aktualisiere schneller. Lee Klarich von Palo Alto Networks sagt, dass die Zeit vom Entdecken einer Schwachstelle bis zum funktionierenden Schadangriff von Monaten auf Minuten geschrumpft ist. Wenn deine Organisation noch vierteljährliche Aktualisierungszyklen fährt, ist das kein konservatives Vorgehen mehr, sondern eine offene Flanke.
Stell dir die Frage nach quelloffener Software. Welche Systeme in deinem Unternehmen hängen an Bibliotheken, die ein einzelner Betreuer in seiner Freizeit pflegt? Glasswing adressiert genau das: 100 Millionen Dollar an Nutzungsguthaben für Mythos Preview, 4 Millionen Dollar an die Linux Foundation und die Apache Software Foundation.
Was sich lohnt im Auge zu behalten: Anthropic will innerhalb von 90 Tagen einen öffentlichen Bericht über die gefundenen Schwachstellen veröffentlichen. Ich vermute, das wird einer der aufschlussreichsten Sicherheitsberichte der kommenden Jahre.
Was Anthropic hier wirklich macht
Ich komme nicht drum herum, das zu sagen: Dieses Projekt ist richtig und eigennützig gleichzeitig. Richtig, weil die Verteidigung einen Vorsprung braucht. Eigennützig, weil Anthropic sich damit als unverzichtbarer Partner für kritische Infrastruktur positioniert. Wer Mythos Preview kontrolliert, hat das derzeit mächtigste Werkzeug für angriffs- und verteidigungsseitige KI Cybersicherheit in der Hand. Und das ist kein Nebeneffekt, das ist der Punkt.
Dass das Modell nicht öffentlich verfügbar wird, leuchtet aus Sicherheitsgründen ein. Aber es bedeutet eben auch, dass der Zugang zu dieser Technologie ein geopolitisches Machtinstrument wird. Die Projektseite formuliert es erstaunlich offen: Die USA und ihre Verbündeten müssen einen entscheidenden Vorsprung in der KI Technologie behalten. Das ist kein neutraler Satz. Das ist Industriepolitik in Sicherheitsverpackung. Ich finde das ehrlicher als die übliche „Wir tun das für die Menschheit“ Formel aus Kalifornien. Aber man sollte es benennen, was es ist.
Und genau hier steckt auch die Schwachstelle der ganzen Strategie. Anthropic kann Mythos Preview unter Verschluss halten. Aber die anderen Modellanbieter arbeiten mit Hochdruck an eigenen Modellen. Meta, Mistral, DeepSeek, Alibaba — sie alle veröffentlichen quelloffene Modelle, die mit jeder Generation leistungsfähiger werden. Die Lücke zwischen geschlossenen Spitzenmodellen und frei verfügbaren Alternativen schrumpft seit Monaten. Es wird nicht mehr lange dauern, bis ein quelloffenes Modell vergleichbare Fähigkeiten zur Schwachstellenanalyse mitbringt. Und dann kann niemand mehr kontrollieren, wer es einsetzt. Kein Zugangsprogramm hilft dann, keine Partnervereinbarung. Das Doppelverwendungsdilemma lässt sich nicht durch Zugangsbeschränkung lösen. Es lässt sich nur durch Tempo lösen: schneller finden, schneller beheben, schneller absichern als die Gegenseite.
Was bleibt
Zehn Jahre nach der ersten DARPA Cyber Grand Challenge holen Spitzenmodelle die besten menschlichen Sicherheitsforscher ein. Glasswing ist der Versuch, dieses Rennen auf der Seite der Verteidigung zu führen. Ob das gelingt, hängt daran, wie schnell Sicherheitsupdates ausgeliefert werden, wie offen die Partner ihre Erkenntnisse teilen und ob Regierungen regulatorisch mithalten können.
Das Doppelverwendungsdilemma der KI Cybersicherheit verschwindet nicht. Es wird sich mit jedem leistungsfähigeren Modell verschärfen. Glasswing ist eine Wette darauf, dass der Vorsprung der Verteidiger reicht, wenn man heute anfängt. Ich halte diese Wette für besser als Abwarten. Aber wer glaubt, damit sei das Problem gelöst, unterschätzt, was gerade in Bewegung gerät.
Quellen
- Anthropic: „Project Glasswing: Securing critical software for the AI era.“ Projektankündigung, April 2026. https://www.anthropic.com/glasswing
- Anthropic Frontier Red Team Blog: Technische Details zu gefundenen Schwachstellen und Angriffsmethoden (Teilmenge bereits behobener Schwachstellen). April 2026. https://red.anthropic.com/2026/mythos-preview
- Governance.ai: „Estimating Global Yearly Cybercrime Damage Costs.“ Forschungsbericht, Datum auf Projektseite nicht spezifiziert. https://www.governance.ai/research-paper/estimating-global-yearly-cybercrime-damage-costs
- CISA: „Attack on Colonial Pipeline: What We’ve Learned & What We’ve Done Over the Past Two Years.“ https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years
- UK National Audit Office: „Investigation: WannaCry cyber attack and the NHS.“ https://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/
Schreibe einen Kommentar