clauding.de
EN
3 Min. Lesezeit KI-generiert

Project Glasswing: Mythos findet ueber 10.000 kritische Sicherheitsluecken

Artikel als Markdown kopieren

Anthropics geheimes Modell hat in nur einem Monat mehr Bugs gefunden als ganze Security-Teams in Jahren. Und das ist erst der Anfang.

Anthropic Mythos Security Glasswing Cybersecurity
Featured image for "Project Glasswing: Mythos findet ueber 10.000 kritische Sicherheitsluecken"

Anthropic hat am 22. Mai den ersten Zwischenbericht zu Project Glasswing veroeffentlicht — und die Zahlen sind beeindruckend. Claude Mythos Preview, Anthropics staerkstes und bisher nicht oeffentlich verfuegbares Modell, hat in Zusammenarbeit mit rund 50 Partnern mehr als 10.000 Sicherheitsluecken mit hohem oder kritischem Schweregrad gefunden. In einem Monat.

Was ist Project Glasswing?

Im April hatte Anthropic das Programm gestartet, um die weltweit wichtigste Software zu haerten, bevor aehnlich faehige KI-Modelle von Angreifern genutzt werden koennen. Die Idee: Wenn Mythos-aehnliche Modelle bald von anderen Firmen entwickelt werden, sollen Verteidiger einen Vorsprung haben.

Die Ergebnisse sprechen fuer sich

Die Partner-Ergebnisse lesen sich wie ein Security-Jahresbericht auf Speed:

  • Cloudflare fand 2.000 Bugs, davon 400 mit hohem oder kritischem Schweregrad — mit einer False-Positive-Rate, die besser ist als bei menschlichen Testern.
  • Mozilla entdeckte und behob 271 Schwachstellen in Firefox 150 — zehnmal mehr als mit Claude Opus 4.6 bei Firefox 148.
  • In wolfSSL, einer Kryptografie-Bibliothek auf Milliarden von Geraeten, konstruierte Mythos einen Exploit, der das Faelschen von Zertifikaten ermoeglicht haette — praktisch eine Einladung fuer gefaelschte Bank-Websites.
  • Das UK AI Security Institute bestaetigt, dass Mythos das erste Modell ist, das beide ihrer Cyber-Simulationen komplett loest.

Dazu kommen ueber 6.200 geschaetzte kritische Schwachstellen in mehr als 1.000 Open-Source-Projekten, die Anthropic selbst gescannt hat. Bei einer bisherigen True-Positive-Rate von ueber 90 Prozent sind das fast 3.900 bestaetigte Probleme allein in Open-Source-Code.

Der Flaschenhals ist jetzt der Mensch

Und genau das ist die Pointe: Das Finden von Bugs ist nicht mehr das Problem. Der Flaschenhals ist jetzt das Verifizieren, Melden und Patchen. Im Schnitt dauert es zwei Wochen, bis ein kritischer Bug gepatcht ist. Manche Open-Source-Maintainer haben Anthropic sogar gebeten, die Meldungen zu verlangsamen — sie kommen nicht hinterher.

Wann kommt Mythos fuer alle?

Kurze Antwort: Noch nicht. Anthropic betont, dass kein Unternehmen — auch Anthropic selbst nicht — bisher ausreichende Schutzvorrichtungen hat, um ein Modell dieser Staerke oeffentlich freizugeben. Gleichzeitig bereitet sich das Unternehmen offenbar auf eine begrenzte Verfuegbarkeit vor: In Claude Code tauchten kurzzeitig Labels wie ‘Mythos 1’ und ‘claude-mythos-1-preview’ auf.

Bis es soweit ist, macht Anthropic die eigenen Security-Tools zugaenglich: Claude Security ist seit drei Wochen in der Public Beta fuer Enterprise-Kunden, und das Cyber Verification Program erlaubt professionellen Sicherheitsforschern, Claudes Modelle ohne bestimmte Einschraenkungen zu nutzen.

Einordnung

Project Glasswing ist mehr als ein PR-Stunt. Es zeigt, dass Frontier-Modelle die Cybersecurity-Landschaft fundamental veraendern — sowohl fuer Angreifer als auch fuer Verteidiger. Dass Anthropic die Ergebnisse so transparent teilt, ist klug: Es baut Vertrauen auf und erzeugt gleichzeitig Druck auf die restliche Branche, ihre Software schneller zu haerten. Die Frage ist nicht mehr, ob KI massive Mengen an Bugs findet — sondern ob wir sie schnell genug fixen koennen.

Quellen: