Anthropic hat ein Modell gebaut, das zu gefährlich zur Veröffentlichung ist
Claude Mythos, Anthropics geheimes Modell, entdeckte in wenigen Wochen Tausende von Zero-Days. Zu gefährlich für die Veröffentlichung. Was das über das Kommende verrät.
Jahrelang hat Anthropic eine Botschaft wiederholt: Wir entwickeln KI verantwortungsvoll. Wir sind das seriöse Unternehmen. Im April 2026 stellen ihre eigenen Ergebnisse diese Erzählung in Frage. Nicht weil sie gescheitert sind, sondern weil sie Erfolg hatten.
Was Claude Mythos in wenigen Wochen geleistet hat
Zunächst die Fakten.
Im März 2026 bereitete Anthropic einen Blogbeitrag über ein neues Modell vor. Dieser Entwurf gelangte versehentlich durch einen ungesicherten S3-Bucket an die Öffentlichkeit. Maximale Ironie für ein Unternehmen, dessen zentrales Versprechen operationelle Sorgfalt ist.
Was enthüllt wurde: Claude Mythos ist "weit vor jedem anderen KI-Modell in Cyber-Fähigkeiten". In wenigen Wochen Tests identifizierte das Modell Tausende kritischer Zero-Day-Schwachstellen in allen wichtigen Betriebssystemen und populären Browsern. Zu den dokumentierten Beispielen gehören:
- Ein 27 Jahre alter Fehler in OpenBSD, unentdeckt trotz des Sicherheitsrufs dieses Betriebssystems
- Eine Schwachstelle in FFmpeg, die fünf Millionen automatisierte Tests überlebt hatte
- Mehrere Linux-Kernel-Schwachstellen, die die vollständige Kompromittierung eines Rechners ermöglichen
Die besondere Fähigkeit liegt nicht darin, isolierte Fehler zu finden. Es geht darum, mehrere unterschiedliche Schwachstellen zu koordinierten Angriffen zu verketten. Erweitertes, autonomes Denken angewendet auf offensive Sicherheit.
Ergebnis: Anthropic entschied, Mythos nicht zu veröffentlichen. Noch nicht. Vielleicht nie.
Die strukturelle Ironie
Es lohnt sich, innezuhalten und das Ausmaß des Geschehens zu erfassen.
Anthropic ist das Unternehmen, das 2021 von ehemaligen OpenAI-Forschern gegründet wurde, die sich über existenzielle KI-Risiken sorgten. Ihre Leitlinie: "responsible scaling". Ihre Architektur: Constitutional AI, die Werte im Modell verankern soll. Ihre Positionierung: das ernsthafte Gegengewicht zum hektischen Wettlauf der Konkurrenz.
Dieses Modell, das am stärksten ausgerichtete, meistgeprüfte, am besten dokumentierte, hat gerade Tausende kritischer Schwachstellen in der globalen digitalen Infrastruktur identifiziert. Und Anthropic hat es gebaut.
Das S3-Bucket-Leck ist kein Randdetail. Es veranschaulicht ein Muster, das als Capability Drift bekannt ist: Organisationen entwickeln Systeme, deren praktische Auswirkungen ihre betrieblichen Verfahren übersteigen. Man setzt ein, bevor man abgesichert hat. Man veröffentlicht Entwürfe auf öffentlichen Servern. Man kündigt intern Fähigkeiten an, die vertraulich hätten bleiben sollen.
Das ist kein Problem böser Absicht. Es ist ein Skalierungsproblem.
Project Glasswing: Tugend oder exklusiver Club?
Angesichts des Problems entschied sich Anthropic für Project Glasswing: eingeschränkter Zugang zu Mythos Preview für rund vierzig Organisationen: AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, Nvidia und etwa dreißig weitere. Erklärtes Ziel: das Modell nutzen, um Systeme präventiv zu patchen, bevor sich diese Fähigkeiten verbreiten.
100 Millionen Dollar in Nutzungsguthaben wurden an die Teilnehmer verteilt. Die Idee: die Lücken schließen, bevor jemand anderes sie ausnutzen kann.
Das ist ein eleganter Ansatz, und er verdient ernsthafte Betrachtung.
Zunächst, was er leistet: Die Unternehmen, die die weltweite kritische Infrastruktur kontrollieren, erhalten einige Monate Vorsprung, um Schwachstellen zu beheben. Für Bankensysteme, Betriebssysteme und Browser ist das bedeutsam.
Dann, was er nicht leistet: Er löst das Problem nicht. Er verschiebt es. Alex Stamos (Corridor, ehemals Facebook) formulierte es klar: "We have about six months before open-weight models catch up to foundation models in vulnerability detection."
Das bedeutet: In sechs Monaten werden Open-Source-Modelle über dieselben Fähigkeiten verfügen. Und diese kontrolliert niemand.
Der zweite Ordnungseffekt, den niemand betrachten will
Hier endet die klassische redaktionelle Analyse. Hier sollte sie weitergehen.
Project Glasswing schafft eine temporäre Asymmetrie zwischen großen Technologieunternehmen und dem Rest der Welt. Die 40 ausgewählten Organisationen patchen ihre Systeme, während ihre weniger gut vernetzten Wettbewerber exponiert bleiben. KMU, Behörden, kritische Infrastrukturen in Entwicklungsländern: außerhalb des Rahmens.
Tiefergehend: Die Entscheidung, Mythos nicht zu veröffentlichen, ändert seine Existenz nicht. Anthropic hat es gebaut. Die Forscher, die es trainiert haben, kennen jetzt die Techniken. Die Trainingsdaten existieren. Die Methodik ist zumindest teilweise in dem berühmten durchgesickerten Entwurf dokumentiert.
Die Geschichte der Dual-Use-Technologie ist konstant: Fähigkeiten, die für die Verteidigung entwickelt wurden, landen in unbeabsichtigten Händen. NSA-Werkzeuge (EternalBlue) haben WannaCry befeuert. Militärische Verschlüsselungstechniken stecken in unseren Telefonen. Dieser Zyklus hat keinen Grund, mit Mythos aufzuhören.
Was sich konkret verändert
Für Normalverbraucher ist die unmittelbare Bedrohung begrenzt. Mythos ist nicht frei verfügbar. Project Glasswing führt die Patches durch. Kritische Systeme sind wahrscheinlich besser gesichert als zuvor.
Aber das Signal ist wichtig.
KI hat gerade bewiesen, dass sie in wenigen Wochen leisten kann, was Tausende von Sicherheitsingenieuren in 27 Jahren nicht geschafft haben. Das ist keine Metapher über "KI wird alles verändern". Es ist ein empirisches Ergebnis, dokumentiert, datiert April 2026.
Was das bedeutet:
Für die Cybersicherheit: Die "Sicherheits"-Benchmarks, die unsere Systeme bislang bestanden haben, sind hinfällig. Ein Betriebssystem, das drei Jahrzehnte lang als sicher galt, war es nicht. Was sagt das über alle Audits, die ohne Zugang zu Mythos durchgeführt wurden?
Für die Regulierung: Das Finanzministerium und die Fed haben Wall Street zu einem Notfallmeeting einberufen. Keine Technologiebehörden, Finanzinstitutionen. Die zugrundeliegende Lesart: Das ist kein Technologierisiko mehr, es ist ein systemisches Risiko.
Für Anthropic: Das Unternehmen steht vor einer existenziellen Ironie. Seine Mission ist es sicherzustellen, dass KI der Menschheit nützt. Sein fortschrittlichstes Modell ist zu gefährlich, um es mit ihr zu teilen.
Fazit
Das eigentliche Problem ist nicht Claude Mythos. Es ist, dass wenn Anthropic es gebaut hat, andere es auch getan haben, oder es bald tun werden. Die Entscheidung zur Nicht-Veröffentlichung ist vernünftig. Sie löst nichts.
In der Geschichte der Dual-Use-Technologien haben Nicht-Veröffentlichungsentscheidungen typischerweise eine Wirkung von einigen Monaten bis zu einigen Jahren. Danach verbreiten sich die Fähigkeiten: durch Parallelforschung, Wettbewerb, Lecks.
Wenn Ihr Unternehmen das nächste Mal fragt, ob seine Systeme gegen KI-Bedrohungen gesichert sind, lautet die richtige Antwort im April 2026: wahrscheinlich nicht.
Quellen: Fortune (26. März, 7. April, 10. April 2026), Platformer (April 2026), CNN Business (3. April 2026), TechCrunch (7. April 2026)
