Anthropic öffnet Mythos für 200 Organisationen, Risiko: 100 Millionen

Am 3. Juni hat Anthropic in einem einzigen Blogpost zwei Sätze veröffentlicht. Der erste besagt, der Zugang zum Modell Mythos werde auf rund 150 neue Partner in mehr als 15 Ländern ausgeweitet. Der zweite besagt, ein erfolgreicher Angriff könnte bei den meisten dieser Partner "mehr als 100 Millionen Menschen treffen, mit erheblichen Folgen für die globale und nationale Sicherheit". Beide Sätze stehen im selben Absatz. Anthropic unterschreibt trotzdem.

Was Mythos macht, und für wen

Mythos ist das leistungsfähigste Cyberabwehr-Modell von Anthropic. Am 7. April angekündigt, war es von Anfang an auf eine geschlossene Kohorte namens Project Glasswing beschränkt: Apple, Microsoft, AWS, Cisco, CrowdStrike, Google, JPMorgan Chase, Nvidia, Palo Alto Networks sowie rund dreißig weitere Mitglieder. Erklärter Auftrag: die Codebasen der Partner scannen, um Schwachstellen zu finden, bevor ein Angreifer sie entdeckt.

Zwei-Monats-Bilanz laut Anthropic: mehr als 10 000 als "high" oder "critical" eingestufte Schwachstellen, gemeldet von den Teilnehmern. Mozilla bestätigte die Zahl im April für Firefox, mit einem Vorbehalt, den niemand vergessen hat: "keine Kategorie von Schwachstelle, die außerhalb der Reichweite eines kompetenten menschlichen Forschers liegt." Mythos beschleunigt die Defensivarbeit, es erfindet sie nicht neu.

Die Erweiterung vom 3. Juni vervierfacht den Perimeter. Von rund fünfzig auf etwa 200 Organisationen in mindestens fünfzehn Ländern. Indien, Kanada, Australien, Frankreich, Deutschland, Japan und Südkorea als erste echte Einsatzgebiete außerhalb der USA. Auf koreanischer Seite kommen Samsung, SK Hynix, SK Telecom und die staatliche Agentur KISA dazu. NATO und Okta treten ebenfalls bei. ENISA, die Cyber-Agentur der EU, ist die erste nicht-amerikanische institutionelle Stelle in Glasswing.

Die neuen Sektoren sind genau die, die Anthropic als die mit 100 Millionen betroffenen Menschen pro Partner beschreibt: Energie, Wasser, Gesundheit, Telekommunikation, Hardware.

Der Satz, Wort für Wort

Die Passage aus dem offiziellen Blogpost verdient es, langsam gelesen zu werden.

"Für die meisten dieser Partner könnte ein schwerer Angriff mehr als 100 Millionen Menschen treffen, mit erheblichen Folgen für die globale und nationale Sicherheit."

Weiter unten:

"Günstige, schnelle KI-Modelle mit starken Cyber-Fähigkeiten stehen vor der Tür. Innerhalb von 6 bis 12 Monaten erwarten wir, dass viele andere KI-Unternehmen über Modelle der Mythos-Klasse verfügen werden."

Und der Satz, der den gesamten Plan rechtfertigt:

"Wir (und nach unserem Wissen alle anderen KI-Entwickler) haben die nötigen Schutzmechanismen für eine öffentliche Veröffentlichung noch nicht entwickelt."

Die Logik ist eindeutig. Anthropic sagt: Wir haben die Schutzmechanismen nicht, die Konkurrenz auch nicht, aber sie wird das Modell in sechs Monaten haben. Also geben wir unsere Version an 200 ausgewählte Organisationen, damit sie früher patchen können.

Das in Kauf genommene Risiko: einer dieser Partner oder einer seiner Subunternehmer wird kompromittiert, und die offensive Fähigkeit leakt. Kosten im Schadensfall: 100 Millionen Menschen pro betroffenem Partner. Erwarteter Nutzen: ein paar Monate defensiver Vorsprung gegenüber Open-Weight-Modellen, die bis Jahresende dieselben Fähigkeiten haben werden.

Diese Rechnung kann aufgehen. Man wird sie nur nicht "safety" nennen: Es ist eine industrielle Entscheidung, die ein katastrophales Risiko zugunsten eines temporären operativen Vorteils internalisiert.

Der April-Vorfall, den niemand vergisst

Der Präzedenzfall existiert. Am 21. April, dem Tag, an dem Anthropic Mythos öffentlich vorstellte, verschaffte sich eine unbekannte Gruppe über die Umgebung eines Subunternehmers Zugriff auf das Modell. Methode: URL-Raten anhand der Anthropic-Konventionen, ergänzt durch die passive Hilfe eines Mitarbeiters dieses Subunternehmers. Das Modell, das "zu gefährlich für eine Veröffentlichung" war, wurde innerhalb von vierundzwanzig Stunden nach seiner Ankündigung teilweise zugänglich. Anthropic hat "untersucht", ohne öffentliche Zahlen zum tatsächlichen Ausmaß des Lecks.

Sechs Wochen später wird der Perimeter vervierfacht. Jeder neue Partner fügt eine Angriffsfläche, Subunternehmer und Abhängigkeiten hinzu. Die Rechnung, die bei 50 Organisationen aufging, muss jetzt bei 200 aufgehen. Der Blogpost sagt nicht, wie.

Das politische Sicherheitsnetz: ein freiwilliges Audit

Am 2. Juni, am Tag vor der Anthropic-Ankündigung, unterzeichnete das Weiße Haus die Executive Order "Promoting Advanced Artificial Intelligence Innovation and Security". Der Mechanismus: KI-Entwickler können ihre leistungsstärksten Modelle vor der öffentlichen Veröffentlichung freiwillig einer bundesstaatlichen Prüfung von höchstens dreißig Tagen unterziehen. Eine Klausel räumt jede Mehrdeutigkeit aus: nichts im Text schafft eine Verpflichtung, Lizenz, vorherige Genehmigung oder ein Erlaubnisverfahren. Die Teilnahme wird angeboten, nicht gefordert.

Der offizielle Auslöser, laut den dossiernahen Medien, ist genau der Mythos-Vorfall vom April. Ein privates Unternehmen kündigt ein Modell an, das es selbst für zu mächtig für eine Veröffentlichung hält, verliert innerhalb von vierundzwanzig Stunden teilweise die Kontrolle, und die politische Antwort lautet, höflich um Zustimmung zu einem freiwilligen Audit zu bitten.

Anthropic begrüßte den Text als "wichtigen Schritt zur Stärkung der amerikanischen Führungsrolle bei KI". OpenAI forderte einen Rahmen, der "durch demokratische Institutionen, gestützt auf technische Expertise" entstehen müsse. Die beiden Aussagen sagen nicht dasselbe, und der Spalt dazwischen ist genau die Zone, die der Erlass offen lässt.

Das Wort, das nichts mehr beschreibt

Anthropic ist das 2021 von ehemaligen OpenAI-Mitarbeitern gegründete Unternehmen, die sich um die Risiken von KI sorgten. Das Wort "safety" ist sein Markenzeichen seit dem ersten Tag. Es ist das Argument, das seine Bewertung, seine Regierungsverträge und seine Positionierung gegenüber OpenAI rechtfertigt.

Am 3. Juni verteilt genau dieses Unternehmen sein sensibelstes Modell an 200 Organisationen und schreibt schwarz auf weiß, dass ein erfolgreicher Angriff auf eine von ihnen 100 Millionen Menschen treffen würde. Daniel Stenberg, Maintainer des Open-Source-Projekts cURL, bezeichnet Mythos Preview als "äußerst erfolgreichen Marketing-Stunt". Kevin Beaumont, ein in der Branche bekannter Sicherheitsanalyst, sagt es kürzer: "Marketing, im Grunde."

Auf europäischer Ebene wird das Signal eindeutig gelesen. ENISA tritt Glasswing bei, veröffentlicht parallel jedoch ein Positionspapier, das für ein "European Glasswing" wirbt, koordiniert durch CERT-EU mit ANSSI, BSI, ACN und CCN-CERT.

Frankreich, Deutschland und Italien unterstützen ein Spiegelkonsortium mit Mistral, Aleph Alpha, Pasqal, Thales und OVHcloud, gestützt auf 500 Millionen Euro aus dem Digital Europe Programme. Bruce Schneier hat es in einem Satz formuliert: Wenn Anthropic sich weigert, mit ANSSI, BSI oder ENISA zu teilen, wird die daraus folgende staatliche Asymmetrie irgendwann explodieren.

Die britischen Banken haben das bereits zu spüren bekommen. HSBC, Lloyds, Nationwide, Bank of England: aus Mythos ausgeschlossen. Bank-of-England-Gouverneur Andrew Bailey hat öffentlich klargemacht, dass ihm das nicht passt. Neun britische Banken wurden zum Trostpreis auf OpenAIs GPT-5.5 Cyber umgeleitet. Liam Salsi, ein vom The Register zitierter Analyst, hat die direkteste Lesart: Die US-Regierung will kontrollieren, wer Zugang zur Plattform hat, weil es die Wahrscheinlichkeit verringert, dass sie in falsche Hände fällt.

Das ist Außenpolitik, betrieben von einem privaten Unternehmen mit einer Bewertung nahe 1 Billion Dollar, abgesegnet durch ein freiwilliges Bundes-Audit. Das Wort "safety" beschreibt diese Konstruktion. Viel ist nicht mehr darin enthalten.

Wenn man Kunde einer Bank, eines Telekomanbieters, eines Energieversorgers oder eines Krankenhauses unter den 100 Millionen pro betroffenem Partner ist (und statistisch gesehen ist man es mehrfach), hängt die eigene operative Sicherheit jetzt von 200 Organisationen ab, deren vollständige Liste nicht öffentlich ist. Der Schiedsrichter über den Perimeter reicht am selben Tag wie die Ankündigung seine IPO-Unterlagen ein. Das politische Sicherheitsnetz ist dreißig Tage lang freiwillig.

Anthropic hat beide Sätze gleichzeitig veröffentlicht. Das ist wahrscheinlich das Einzige, was man von diesem Tag mitnehmen sollte.