Claude Mythos 1: Anthropics KI findet Sicherheitslücken mit 83%

Das Modell entdeckt Sicherheitslücken mit einer Trefferquote von über 83 Prozent – und stellt damit alles Bisherige in den Schatten.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Cyber Security Bedrohungen abwenden

Die versehentliche Offenlegung erfolgte am heutigen Montag über ein Content-Management-System sowie kurze Einblicke in die Plattformen Claude Code und Claude Security. Ursprünglich Anfang April 2026 angekündigt, blieb das Modell hinter strengen Sicherheitsvorkehrungen verborgen. Der Grund: sein dual-use-Potenzial – Mythos 1 kann Schwachstellen in Software eigenständig identifizieren und ausnutzen.

Eine neue Intelligenz-Stufe

Mythos 1 repräsentiert eine neue Leistungsklasse oberhalb von Anthropics bisherigem Flaggschiff Opus. Interne Benchmarks zeigen eine massive Überlegenheit in Programmierung, akademischem Denken und Cybersicherheit. Besonders beeindruckend: eine Erfolgsrate von 83,1 Prozent bei der autonomen Generierung von Exploits. Zum Vergleich: Opus 4.6 liegt hier bei nahezu null Prozent.

Diese Entwicklung zwingt Anthropic zu einem Spagat. Einerseits warnt das Unternehmen vor Risiken für die globale Infrastruktur. Andererseits bereitet es einen kontrollierten Rollout vor.

Projekt Glasswing: 10.000 Schwachstellen in einem Monat

Das wahre Ausmaß der Fähigkeiten zeigt sich in den Ergebnissen von Projekt Glasswing, einer Initiative mit 50 Partnern zur Sicherung kritischer Software. Claude Mythos 1 identifizierte in weniger als einem Monat über 10.000 hochriskante oder kritische Schwachstellen in Kernsoftware. Eine Analyse von rund 1.000 Open-Source-Projekten förderte sogar 23.000 potenzielle Sicherheitslücken zutage. Davon wurden 1.726 bereits bestätigt, mehr als 1.000 gelten als hoch oder kritisch.

Die Effizienz bei der Erkennung von Zero-Day-Schwachstellen hat bereits namhafte Technologieunternehmen überzeugt:

• Mozilla: 271 Schwachstellen im Firefox-Browser – zehnmal mehr als mit bisherigen KI-Tools
• Cloudflare: 2.000 Bugs entdeckt, davon 400 als kritisch eingestuft

Das britische AI Safety Institute bestätigte inzwischen die Fähigkeit des Modells, autonome, mehrstufige Hacking-Operationen durchzuführen. Anthropic-Vertreter betonen: „Der Engpass in der Softwaresicherheit ist nicht mehr die Entdeckung von Schwachstellen, sondern die menschliche Kapazität, Patches zu entwickeln und auszurollen.“

Google kontert mit CodeMender

Während Anthropic auf Identifikation setzt, positioniert Google seine Technologie als Lösung für die Behebung. Auf der I/O 2026 stellte der Konzern CodeMender vor – einen autonomen Sicherheitsagenten auf Basis des Gemini Deep Think Frameworks. Anders als Mythos deckt CodeMender nicht nur Lücken auf, sondern übernimmt den gesamten Lebenszyklus: Analyse, Patch-Erstellung, Regressionstests und Pull-Requests. In sechs Monaten internen Tests generierte CodeMender 72 verifizierte Sicherheitsfixes für Open-Source-Projekte mit Codebasen von bis zu 4,5 Millionen Zeilen.

Die Branche reagiert

Die Sicherheitsindustrie stellt sich auf die neue Ära autonomer KI-Agenten ein. Zscaler gab heute die Übernahme von Symmetry Systems bekannt, einer Firma für KI-Agenten-Governance. Die Integration in die Zscaler Zero Trust Exchange soll Unternehmen eine Karte ihrer Identitäts- und Dateninteraktionen liefern – für automatisierte Richtliniendurchsetzung und Anomalieerkennung.

Parallel dazu hat Sumo Logic eine Compliance-Überwachung für die Claude-Plattform integriert. Unternehmen können damit Prüfpfade für administrative Aktionen und API-Key-Ereignisse erstellen – essenziell angesichts der zunehmenden Nutzung dieser mächtigen Modelle.

Bedrohungen beschleunigen sich dramatisch

Die Veröffentlichung von Mythos 1 fällt in eine phase extremer Volatilität. Google Cloud berichtet, dass die durchschnittliche Zeit zwischen einem ersten Systemeinbruch und der Übergabe an einen zweiten Angreifer von acht Stunden auf nur 22 Sekunden geschrumpft ist. Parallel dazu nimmt „Shadow AI" zu – die Nutzung von KI-Tools außerhalb offizieller Unternehmenskontrollen.

Die finanziellen Risiken werden an konkreten Fällen deutlich: Google-Cloud-Entwickler erhielten unerwartete fünfstellige Rechnungen durch kompromittierte Gemini-API-Keys. In einigen Fällen entstanden Kosten von über 10.000 Euro in nur 30 Minuten. Die Sicherheitsfirma Aikido entdeckte zudem, dass selbst widerrufene API-Keys bis zu 23 Minuten funktionsfähig bleiben – ein gefährliches Zeitfenster für automatisierte Angriffe.

GitHub-Kompromittierung: 3.800 interne Repositories betroffen

Auch traditionelle Sicherheitsverletzungen bleiben eine massive Bedrohung. Am 19. Mai 2026 entdeckte GitHub einen schwerwiegenden Vorfall mit rund 3.800 internen Repositories. Ein bösartiges VS-Code-Plugin kompromittierte ein Mitarbeitergerät und stahl Anmeldedaten. Kundendaten blieben demnach unberührt. Die Gruppe TeamPCP fordert 50.000 US-Dollar für die Rückgabe der gestohlenen Daten. Der Vorfall wird mit einem selbstverbreitenden Malware-Stamm namens „Mini Shai-Hulud" in Verbindung gebracht, der möglicherweise mit einem Supply-Chain-Angriff auf die Nx-Console-Erweiterung zusammenhängt.

Vom Sicherheitsanalysten zum KI-gesteuerten „Bug-Pocalypse"

Der Übergang von menschlicher Sicherheitsanalyse zu KI-gesteuerten Schwachstellen-Entdeckungen verändert das Risikomanagement grundlegend. Sicherheitsexperten betonen: Die aktuelle Ära erfordert plattformzentrierte Ansätze statt einzelner Tools. Die schnelle Identifikation tausender Schwachstellen durch Modelle wie Mythos 1 schafft ein Paradoxon: Software wird transparenter, aber die schiere Menge entdeckter Lücken kann Verteidiger überfordern. Angreifer nutzen dieselben KI-Modelle, um Exploits zu finden, bevor Patches bereitstehen.

Angesichts der rasanten Entwicklung von KI-Systemen wie Mythos 1 müssen Unternehmen die neuen rechtlichen Rahmenbedingungen kennen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, Risikoklassen und Dokumentationspflichten sicher zu beherrschen. Kostenloses E-Book zur KI-Verordnung sichern

Sicherheitsanalysten setzen zunehmend auf Zero-Trust-Segmentierung und Netzwerktransparenz, um laterale Bewegungen nach einem Einbruch einzudämmen. Ein für Anfang Juni 2026 angekündigtes Webinar soll Post-Mythos-Sicherheitsstrategien adressieren. Die Botschaft: Organisationen müssen angesichts der autonomen Fähigkeiten der nächsten KI-Generation mit einem erfolgreichen Angriff planen.

Ausblick: Wann kommt Mythos 1?

Trotz der aktuellen Lecks bleibt Claude Mythos 1 der Öffentlichkeit vorenthalten. Anthropic priorisiert spezialisierte Sandbox-Umgebungen für den Einsatz, um das Risiko professioneller Cyberangriffe zu minimieren. Das Unternehmen navigiert die Dual-Use-Natur der Technologie – den defensiven Nutzen in Projekt Glasswing gegen die Gefahren für die globale digitale Infrastruktur.

Wann ein breiterer Rollout erfolgt, ist offen. Klar ist: Mythos wird deutlich teurer als aktuelle Modelle. Branchenkenner rechnen mit dem Zwei- bis Dreifachen des Opus-Preises – möglicherweise 5 bis 25 Euro pro Million Tokens. Die Integration in Claude Code und Claude Security bleibt vorerst in der Vorschauphase. Die Branche wartet ab, wie sich das Gleichgewicht zwischen KI-gesteuerter Entdeckung und KI-gesteuerter Behebung in einer zunehmend automatisierten Bedrohungslandschaft entwickeln wird.

de | wissenschaft | 69418021 |