Anthropics Cybersicherheitsnarrativ gerät durch Replikationsdruck unter Druck

Anthropic hat Claude Mythos als streng kontrolliertes Cybersicherheitsmodell präsentiert, dessen Fähigkeiten stark genug seien, um einen eingeschränkten Zugriff zu rechtfertigen. Dem bereitgestellten Quellentext zufolge beschränkte das Unternehmen Mythos Preview über Project Glasswing auf ein Konsortium aus elf Organisationen und verwies dabei auf offensives Potenzial. Interne Tests und ein Audit des britischen AI Security Institute sollen ergeben haben, dass das Modell Softwarefehler finden, eigenständig funktionierende Exploits bauen und ganze Unternehmensnetzwerke in Simulationen kompromittieren konnte, vorausgesetzt, diese Netzwerke waren klein, schwach abgesichert und verwundbar.

Das ist eine ernsthafte Reihe von Behauptungen, und die neue Entwicklung besteht nicht darin, dass diese Behauptungen widerlegt wurden. Vielmehr werden Teile der Erzählung von der Exklusivität nun infrage gestellt. Zwei unabhängige Replikationsbemühungen, die in der Quelle beschrieben werden, deuten darauf hin, dass kleinere und offenere Modelle einen Großteil der Schwachstellenanalyse reproduzieren können, die Anthropic öffentlich vorgeführt hat.

Dieser Unterschied ist wichtig. Die Debatte verschiebt sich von der Frage, ob Mythos leistungsfähig ist, hin zu der Frage, ob die gezeigten Fähigkeiten wirklich einzigartig sind.

Was die Replikationsversuche gefunden haben

Der erste Replikationsversuch kam von AISLE, einem Unternehmen, das seit Mitte 2025 KI-gestützte Bug-Hunts in Open-Source-Software durchführt. Laut Quelle hat AISLE 15 Schwachstellen in OpenSSL und fünf in curl gemeldet. Gründer Stanislav Fort soll Codeausschnitte aus Anthropics öffentlichen Beispielen verwendet haben, um zu testen, wie weit eine Reihe kleinerer und teilweise offener Modelle allein kommen können.

Der zweite Versuch kam von Vidoc Security, das GPT-5.4 und Claude Opus 4.6 mit dem offenen Coding-Agenten OpenCode kombinierte. Gemeinsam versuchen diese Studien eine praktische Frage zu beantworten: Wenn Anthropic beeindruckende Fähigkeiten beim Finden von Bugs oder beim Schlussfolgern über Exploits demonstriert, wie viel davon ist exklusiv für Mythos, und wie viel spiegelt eine Fähigkeitsschwelle wider, die sich im gesamten Modellumfeld verbreitert?

Die frühe Antwort des Quellentextes scheint zu sein, dass diese Schwelle breiter sein könnte, als Anthropics Zugriffskontrollen vermuten lassen.

How we used Gemini to build Google I/O 2026
More in AI & Robotics

Google erklärt, wie Gemini bei der Produktion von I/O 2026 half

Google sagt, Teams hätten Gemini und andere KI-Tools eingesetzt, um Filme, Visuals und Event-Elemente für Google I/O 2026 zu erstellen, und stellt die Konferenz als internes Schaufenster KI-gestützter Produktion dar.

Read article

Das FreeBSD-Beispiel ist der Schlüsseltestfall

Das konkretste Beispiel im bereitgestellten Material betrifft einen FreeBSD-NFS-Fehler mit der Kennung CVE-2026-4747. Anthropic hatte diesen Fall als Beleg für Mythos’ autonome Entdeckung und Ausnutzung hervorgehoben. AISLE testete dann acht Modelle an der relevanten Funktion, und laut Artikel erkannte jedes von ihnen den Speicherfehler.

Das ist der stärkste Einwand in dem Bericht. Nicht nur sollen alle acht Modelle die Schwachstelle als kritisch markiert haben, sie erzeugten auch plausible Überlegungen dazu, wie eine Ausnutzung funktionieren könnte und warum standardmäßige Betriebssystemschutzmechanismen nicht greifen würden. Ein Modell, GPT-OSS-120b, soll eine Gadget-Sequenz erzeugt haben, die AISLE als nah am realen Exploit einschätzte. Ein anderes, Kimi K2, soll geschlossen haben, dass sich der Angriff automatisch von einem infizierten Rechner auf andere ausbreiten könnte, ein Detail, das Anthropic selbst laut Artikel nicht erwähnt habe.

Wenn diese Ergebnisse zutreffen, untergraben sie die Vorstellung, dass das Erkennen und Analysieren dieser Art von Schwachstelle ausschließlich einem einzigen streng kontrollierten Modell vorbehalten ist.

Wo die Lücke offenbar noch besteht

Gleichzeitig glättet der Quellentext nicht alle Unterschiede zwischen Mythos und kleineren offenen Modellen. Er verweist auf einen anspruchsvolleren kreativen Schritt in der tatsächlichen Exploit-Kette: eine Nutzlast von mehr als 1.000 Bytes in rund 304 Bytes verfügbarem Raum unterzubringen. Laut Artikel erreichte Mythos dies, indem es die Nutzlast auf 15 separate Netzwerkanfragen verteilte. Keiner der beschriebenen Replikationsversuche im sichtbaren Text habe dieses Niveau der Exploit-Konstruktion erreicht.

Diese Nuance ist entscheidend. Sie legt nahe, dass die Lücke vielleicht nicht mehr in der ersten Schwachstellenerkennung oder im hochrangigen Exploit-Schlussfolgern liegt, sondern in der schwierigeren Ingenieursarbeit, die nötig ist, um eine Schwachstelle unter engen Randbedingungen in einen voll funktionsfähigen Angriff zu verwandeln.

Mit anderen Worten: Die Replikationsstudien beweisen nicht, dass Mythos gewöhnlich ist. Sie deuten aber darauf hin, dass einige der Schlagzeilenbeispiele, mit denen seine Mystik begründet wird, weniger einzigartig sein könnten, als sie zunächst erschienen.

OpenAI starts with infrastructure robots but aims for "everyone having a personal robot doing anything they need"
More in AI & Robotics

OpenAI baut seine Robotik rund um Infrastrukturarbeit und eine längerfristige Verbraucher-Vision neu auf

OpenAI hat sein Robotik-Team neu aufgebaut und beginnt mit Infrastrukturaufgaben, während CEO Sam Altman ein längerfristiges Ziel persönlicher Roboter für alle beschreibt.

Read article

Warum das für KI-Sicherheitspolitik wichtig ist

Die Auswirkungen reichen weit über einen Streit zwischen Modellanbietern hinaus. Zugriffsbeschränkungen, Sicherheitsrichtlinien und Debatten über nationale Sicherheit hängen zunehmend von Aussagen darüber ab, welche Systeme relevante Fähigkeitsgrenzen überschreiten. Wenn kleine oder teilweise offene Modelle einen Großteil der gezeigten Arbeit reproduzieren können, müssen politische Entscheidungsträger und Labore möglicherweise genauer definieren, was als wirklich neu oder besonders gefährlich gilt.

Das ist eine der zentralen Spannungen in der Governance von Frontier-KI. Ein Unternehmen kann den Zugriff auf ein leistungsstarkes Modell redlich einschränken, doch die öffentlichen Beispiele, mit denen es diese Einschränkungen begründet, können in einem sich schnell verbessernden offenen Ökosystem rasch überprüft werden. Dann stellt sich nicht nur die Frage, ob das Flaggschiffmodell stark ist, sondern auch, ob die eingeschränkte Fähigkeit bereits diffundiert.

Die Einordnung des Artikels legt nahe, dass genau das in der KI-gestützten Cybersicherheitsforschung geschieht. Fähigkeiten, die vor Kurzem noch außergewöhnlich wirkten, könnten inzwischen mit geringeren Kosten und mehr Offenheit reproduzierbar sein, als manche Anbieter angedeutet haben.

Die wettbewerbliche Bedeutung für den Modellmarkt

Es gibt auch eine kommerzielle Dimension. Anthropics Positionierung rund um Mythos beruht teilweise auf der Annahme, dass es in einer seltenen Klasse offensiver Cyberfähigkeiten angesiedelt ist. Wenn öffentlich verfügbare oder halb offene Modelle einen Großteil derselben Arbeit approximieren können, verschiebt sich das Wertversprechen.

Das löscht Vorteile bei Zuverlässigkeit, Tiefe oder End-to-End-Automatisierung nicht aus. Aber es schwächt die Erzählung, dass nur ein oder zwei geschützte Systeme sinnvolle autonome Schwachstellenanalysen durchführen können. Für Käufer, Evaluatoren und Sicherheitsforscher könnte das den Benchmarking-Druck über eine breitere Modelllandschaft hinweg beschleunigen.

Es könnte auch die Rolle von Agenten und Toolchains stärken, statt nur die Gewichte eines einzelnen Modells zu betrachten. Eine der in der Quelle beschriebenen Replikationsbemühungen kombiniert Frontier-Modelle mit einem offenen Coding-Agenten, was daran erinnert, dass zusammengesetzte Systeme zunehmend ebenso wichtig sind wie die rohe Fähigkeit eines einzelnen Modells.

Anthropic bans AI tools during job interviews to see how candidates actually think
More in AI & Robotics

Anthropic verbietet KI-Tools in Interviews, um Bewerber zu prüfen

Anthropic verbietet Berichten zufolge KI-Hilfe in Live-Jobinterviews, sofern dies nicht ausdrücklich erlaubt ist, während das Unternehmen prüfen will, wie Bewerber eigenständig denken.

Read article

Ein schmalerer Mythos, kein Zusammenbruch der Fähigkeit

Der Titel des Quellartikels ist bewusst scharf formuliert, aber die beschriebenen Belege stützen ein präziseres Fazit. Die Mythos-Geschichte bricht nicht zusammen, weil dem Modell Fähigkeiten fehlen. Sie wird eingegrenzt, weil die Beispiele, mit denen seine Einzigartigkeit dramatisiert wurde, nun zumindest teilweise von kleineren und offeneren Alternativen erreicht werden.

Das ist dennoch eine bedeutende Entwicklung. In der KI beruht Status oft ebenso sehr auf relativer Wahrnehmung wie auf absoluter Leistung. Wenn die Aura der Exklusivität schwächer wird, verändert sich das strategische Gespräch.

Für Leser von Developments Today ist die Kernbotschaft diese: Die Frontier bei KI-Cyberfähigkeiten könnte sich schneller ausbreiten, als institutionelle Narrative sie einfangen können. Anthropic mag weiterhin ein leistungsstarkes System haben. Aber wenn unabhängige Gruppen einen Großteil der öffentlichen Vorführungen mit billigeren und offeneren Modellen reproduzieren können, dann handelt die eigentliche Geschichte nicht mehr nur von einem außergewöhnlichen Werkzeug eines einzelnen Labors, sondern von einer Fähigkeitsklasse, die immer schwerer zu monopolisieren ist.

Dieser Artikel basiert auf einer Berichterstattung von The Decoder. Zum Originalartikel.

Originally published on the-decoder.com