Claude Mythos: Lagebewertung für Security-Teams
7 Min. Lesezeit
Anthropic hat ein KI-Modell gebaut, das Schwachstellen schneller und tiefer findet als die meisten Security-Teams. Claude Mythos entdeckte einen 27 Jahre alten Bug in OpenBSD, eine 16 Jahre alte Lücke in FFmpeg und mehrere Privilege-Escalation-Pfade im Linux-Kernel. Statt das Modell freizugeben, verteilt Anthropic es über Project Glasswing an über 40 Organisationen – darunter AWS, Microsoft, CrowdStrike und die Linux Foundation. Hier ist die Lagebewertung.
Das Wichtigste in Kürze
- Claude Mythos erreicht 83,1 Prozent auf dem CyberGym-Benchmark für Vulnerability Detection – Opus 4.6 kommt auf 66,6 Prozent (Anthropic, April 2026).
- Das Modell fand kritische Zero-Day-Schwachstellen in OpenBSD (27 Jahre alt, Remote Crash), FFmpeg (16 Jahre alt, 5 Millionen Tests übersehen) und dem Linux-Kernel (Privilege Escalation via DRR-Scheduler).
- Mythos verkettet einzelne Schwachstellen zu vollständigen Angriffspfaden – eine Fähigkeit, die bisher Elite-Pentestern vorbehalten war.
- Project Glasswing gibt über 40 Organisationen kontrollierten Zugang. Patches rollen bereits aus.
- Alle Erkenntnisse werden innerhalb von 90 Tagen veröffentlicht. 4 Millionen US-Dollar fließen an Open-Source-Security-Projekte.
VerwandtDeepfake-Angriffe auf die C-Suite / SPF, DKIM, DMARC richtig konfigurieren
Die Funde im Detail
Drei Funde zeigen das Ausmaß.
In der SACK-Implementation des TCP-Stacks (Selective Acknowledgment – ein Mechanismus zur Handhabung von Paketverlusten) steckte seit 27 Jahren eine Schwachstelle. Sie ermöglicht einen Remote Denial of Service gegen jeden OpenBSD-Server. OpenBSD gilt als eines der sichersten Betriebssysteme. Sein Code wird regelmäßig von erfahrenen Security-Forschern manuell auditiert. Trotzdem blieb der Bug unentdeckt.
FFmpeg – die Multimedia-Bibliothek, die Video- und Audio-Verarbeitung auf praktisch jeder Plattform bereitstellt – enthielt einen Bug im H.264-Codec. 16 Jahre alt. 5 Millionen automatisierte Tests hatten die betroffene Codestelle durchlaufen, ohne die Schwachstelle auszulösen. FFmpeg hat den Bug nach der Meldung durch Anthropic bestätigt und gepatcht.
Im Linux-Kernel fand Mythos mehrere Privilege-Escalation-Pfade, darunter eine Schwachstelle im DRR-Scheduler (Deficit Round Robin – ein Algorithmus zur Verteilung von Netzwerkbandbreite). Ein Nutzer ohne Berechtigungen konnte über diesen Pfad volle Root-Rechte erlangen.
Benchmarks: Mythos gegen Opus 4.6
Die Zahlen zeigen, wie groß der Sprung zwischen den Modellgenerationen ausfällt – nicht nur in Coding-Benchmarks, sondern insbesondere in Security-relevanten Disziplinen.
| Benchmark | Claude Mythos | Opus 4.6 | Was er misst |
|---|---|---|---|
| SWE-bench Verified | 93,9 % | 80,8 % | Echte GitHub-Issues eigenständig lösen |
| CyberGym | 83,1 % | 66,6 % | Vulnerability Detection in Produktions-Code |
| Exploit-Chain-Konstruktion | funktional | eingeschränkt | Verkettung mehrerer CVEs zu lauffähigem Angriff |
Quelle: Anthropic, red.anthropic.com, April 2026. SWE-bench Verified und CyberGym sind etablierte Benchmarks, Exploit-Chain-Konstruktion ist qualitative Eigenbewertung.
Warum das Modell keine Security-KI ist – und trotzdem besser als die meisten
Anthropic hat Mythos nicht auf Security trainiert. Das Modell wurde als Coding-Modell optimiert. Auf SWE-bench Verified erreicht es 93,9 Prozent. Opus 4.6 kommt auf 80,8 Prozent.
Die Security-Fähigkeiten sind ein Emergent Property. Wer Code auf diesem Niveau versteht, versteht automatisch, wo Code verwundbar ist. Das Modell findet nicht nur einzelne Schwachstellen. Es verkettet mehrere kleinere Bugs zu vollständigen Angriffspfaden – drei, vier, fünf Schwachstellen kombiniert zu einem funktionierenden Exploit. Das ist die Arbeitsweise eines erfahrenen Red-Team-Operators, nicht eines Scanners.
Wer Code auf diesem Niveau versteht, versteht automatisch, wo Code verwundbar ist. Die Security-Fähigkeiten von Mythos sind kein Trainingsergebnis – sie sind ein Nebenprodukt überlegener Code-Kompetenz. Das verschiebt das Kräfteverhältnis zwischen Angreifern und Verteidigern dauerhaft.
Auf dem CyberGym-Benchmark erreicht Mythos 83,1 Prozent. Opus kommt auf 66,6 Prozent. Der Abstand ist nicht inkrementell. Es ist ein Generationssprung.
Project Glasswing: Kontrollierte Verteilung
Anthropic hat sich gegen eine öffentliche Freigabe entschieden. Stattdessen läuft Mythos unter dem Projektnamen Glasswing in einer kontrollierten Umgebung.
Die Partner-Liste: AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Palo Alto Networks, Broadcom, die Linux Foundation und über 30 weitere Organisationen.
Wenn ein Tool Schwachstellen in der Infrastruktur findet, auf der das Internet läuft, müssen die Betreiber dieser Infrastruktur es zuerst bekommen. Nicht die Öffentlichkeit, nicht potenzielle Angreifer.
Drei konkrete Zusagen: Alle Erkenntnisse werden innerhalb von 90 Tagen öffentlich geteilt. 100 Millionen US-Dollar an Usage Credits stehen den Partnern zur Verfügung. 4 Millionen US-Dollar fließen direkt an Open-Source-Security-Gruppen. Die Patches rollen bereits. FFmpeg hat den 16 Jahre alten Bug bestätigt und behoben. Die OpenBSD- und Linux-Kernel-Fixes sind in der Auslieferung.
Was das für Security-Teams bedeutet
Die Konsequenzen in drei Zeithorizonten.
Kurzfristig (nächste Wochen)
Reguläre Updates für alle betroffenen Systeme einspielen. Die Glasswing-Patches kommen über die normalen Update-Kanäle der Cloud-Provider und OS-Distributionen. Wer automatische Updates aktiv hat, ist größtenteils geschützt.
Mittelfristig (3 bis 12 Monate)
Messlatte für Vulnerability Assessments verschiebt sich. Wenn eine KI Bugs findet, die 5 Millionen automatisierte Tests und jahrzehntelange manuelle Audits übersehen haben, reicht klassisches Fuzzing als alleinige Testmethode nicht mehr aus. Security-Teams sollten KI-gestützte Code-Analyse in ihren Tool-Stack evaluieren.
Langfristig
Jede nächste Generation von Coding-Modellen wird ähnliche Security-Fähigkeiten entwickeln. Die Fähigkeit, komplexe logische Schwachstellen zu finden und zu Exploit-Chains zu kombinieren, wird zum Standard-Feature von Frontier-Modellen. Das verschiebt das Kräfteverhältnis: Verteidiger bekommen Tools, die bisher nur Elite-Angreifern zur Verfügung standen.
Die unbequeme Wahrheit: Dieselbe Technologie steht auch Angreifern zur Verfügung, sobald vergleichbare Open-Source-Modelle erscheinen. Der Vorsprung, den Glasswing den Verteidigern gibt, ist zeitlich begrenzt. Die 90-Tage-Veröffentlichungsfrist stellt sicher, dass Patches ausgerollt sind, bevor die Details öffentlich werden.
Lagebewertung
Anthropic hat einen Präzedenzfall geschaffen. Ein KI-Lab hat ein Modell gebaut, das zu mächtig für eine unkontrollierte Veröffentlichung ist, und hat den Defender-First-Weg gewählt, statt es entweder komplett einzusperren oder öffentlich freizugeben.
Ob dieser Präzedenzfall Bestand hat, hängt davon ab, ob andere Labs nachziehen. OpenAI, Google DeepMind und Meta trainieren ebenfalls Coding-Modelle der nächsten Generation. Wenn Code-Kompetenz automatisch Security-Kompetenz erzeugt, wird jedes Frontier-Modell ein potenzielles Angriffs- und Verteidigungswerkzeug.
Die relevante Frage ist nicht, ob KI-gestützte Vulnerability Detection kommt. Sie ist da. Die Frage ist, ob die eigene Organisation schnell genug patcht, wenn die nächste Welle von KI-gefundenen Zero-Days veröffentlicht wird.
Häufige Fragen
Was ist Claude Mythos?
Claude Mythos ist Anthropics nächste Modellgeneration. Es erreicht 93,9 Prozent auf SWE-bench Verified und 83,1 Prozent auf dem CyberGym-Benchmark. Die Security-Fähigkeiten sind kein Trainings-Feature, sondern ein Nebenprodukt überlegener Code-Kompetenz.
Warum gibt Anthropic das Modell nicht frei?
Ein Modell, das Schwachstellen in kritischer Infrastruktur findet und zu Exploit-Chains kombiniert, wäre in den falschen Händen ein Angriffswerkzeug. Über Project Glasswing erhalten die Betreiber kritischer Infrastruktur zuerst Zugang, damit Bugs gepatcht werden, bevor sie öffentlich bekannt sind.
Sind meine Systeme betroffen?
Wenn OpenBSD, FFmpeg oder Linux im Einsatz ist: potenziell ja. Die Patches sind bereits verfügbar oder in der Auslieferung. Reguläre Updates einspielen. Wer Cloud-Dienste von AWS, Azure oder GCP nutzt, profitiert automatisch von den Glasswing-Scans der Provider.
Müssen Security-Teams jetzt handeln?
Kurzfristig: Updates einspielen. Mittelfristig: KI-gestützte Code-Analyse in den Tool-Stack evaluieren. Die Messlatte für Vulnerability Assessments verschiebt sich. Klassisches Fuzzing allein reicht nicht mehr gegen die Klasse von Bugs, die Mythos findet.
Wird diese Technologie auch Angreifern zur Verfügung stehen?
Langfristig ja. Vergleichbare Open-Source-Modelle werden ähnliche Fähigkeiten entwickeln. Der Vorsprung, den Glasswing den Verteidigern gibt, ist zeitlich begrenzt. Die 90-Tage-Veröffentlichungsfrist stellt sicher, dass Patches ausgerollt sind, bevor die Details öffentlich werden.
Wie unterscheidet sich CyberGym von klassischen Fuzzing-Benchmarks?
CyberGym testet Modelle an realen Produktions-Codebases auf Vulnerability Detection – nicht nur auf bekannte Muster, sondern auf logische Fehlerklassen. Fuzzing generiert zufällige Inputs und prüft, ob Programme abstürzen. CyberGym fragt: Kann das Modell erklären, warum an dieser Stelle ein Bug existiert, welche Bedingungen ihn triggern und wie er zu einem Exploit wird.
Lesetipps der Redaktion
- Deepfake-Angriffe auf die C-Suite: Wie KI-generierte Stimmen Millionen stehlen
- E-Mail-Authentifizierung: SPF, DKIM und DMARC richtig konfigurieren
- Ransomware-Post-Mortem: Was Produktionsunternehmen 2026 gelernt haben
- NIS2-Ernstfall: Drei Meldewege in der ersten Incident-Stunde
- Anthropic: Claude Mythos Preview (externe Quelle)
Mehr aus dem MBF Media Netzwerk
Reshoring statt Offshore: Wie deutsche Mittelständler ihre Cloud-Lieferkette neu verdrahten
Industrielle Wärmewende: Wo die Chemiebranche 2026 elektrifiziert
Quelle Titelbild: Stimmungsbild (FLUX.2)
