Offene Modelle stellen die Aura um Anthropics Mythos-Cybersicherheitsbehauptungen infrage

Das FreeBSD-Beispiel ist der Schlüsseltestfall

Das konkretste Beispiel im bereitgestellten Material betrifft einen FreeBSD-NFS-Fehler mit der Kennung CVE-2026-4747. Anthropic hatte diesen Fall als Beleg für Mythos’ autonome Entdeckung und Ausnutzung hervorgehoben. AISLE testete dann acht Modelle an der relevanten Funktion, und laut Artikel erkannte jedes von ihnen den Speicherfehler.

Das ist der stärkste Einwand in dem Bericht. Nicht nur sollen alle acht Modelle die Schwachstelle als kritisch markiert haben, sie erzeugten auch plausible Überlegungen dazu, wie eine Ausnutzung funktionieren könnte und warum standardmäßige Betriebssystemschutzmechanismen nicht greifen würden. Ein Modell, GPT-OSS-120b, soll eine Gadget-Sequenz erzeugt haben, die AISLE als nah am realen Exploit einschätzte. Ein anderes, Kimi K2, soll geschlossen haben, dass sich der Angriff automatisch von einem infizierten Rechner auf andere ausbreiten könnte, ein Detail, das Anthropic selbst laut Artikel nicht erwähnt habe.

Wenn diese Ergebnisse zutreffen, untergraben sie die Vorstellung, dass das Erkennen und Analysieren dieser Art von Schwachstelle ausschließlich einem einzigen streng kontrollierten Modell vorbehalten ist.

Wo die Lücke offenbar noch besteht

Gleichzeitig glättet der Quellentext nicht alle Unterschiede zwischen Mythos und kleineren offenen Modellen. Er verweist auf einen anspruchsvolleren kreativen Schritt in der tatsächlichen Exploit-Kette: eine Nutzlast von mehr als 1.000 Bytes in rund 304 Bytes verfügbarem Raum unterzubringen. Laut Artikel erreichte Mythos dies, indem es die Nutzlast auf 15 separate Netzwerkanfragen verteilte. Keiner der beschriebenen Replikationsversuche im sichtbaren Text habe dieses Niveau der Exploit-Konstruktion erreicht.

Diese Nuance ist entscheidend. Sie legt nahe, dass die Lücke vielleicht nicht mehr in der ersten Schwachstellenerkennung oder im hochrangigen Exploit-Schlussfolgern liegt, sondern in der schwierigeren Ingenieursarbeit, die nötig ist, um eine Schwachstelle unter engen Randbedingungen in einen voll funktionsfähigen Angriff zu verwandeln.

Mit anderen Worten: Die Replikationsstudien beweisen nicht, dass Mythos gewöhnlich ist. Sie deuten aber darauf hin, dass einige der Schlagzeilenbeispiele, mit denen seine Mystik begründet wird, weniger einzigartig sein könnten, als sie zunächst erschienen.

Warum das für KI-Sicherheitspolitik wichtig ist

Die Auswirkungen reichen weit über einen Streit zwischen Modellanbietern hinaus. Zugriffsbeschränkungen, Sicherheitsrichtlinien und Debatten über nationale Sicherheit hängen zunehmend von Aussagen darüber ab, welche Systeme relevante Fähigkeitsgrenzen überschreiten. Wenn kleine oder teilweise offene Modelle einen Großteil der gezeigten Arbeit reproduzieren können, müssen politische Entscheidungsträger und Labore möglicherweise genauer definieren, was als wirklich neu oder besonders gefährlich gilt.

Das ist eine der zentralen Spannungen in der Governance von Frontier-KI. Ein Unternehmen kann den Zugriff auf ein leistungsstarkes Modell redlich einschränken, doch die öffentlichen Beispiele, mit denen es diese Einschränkungen begründet, können in einem sich schnell verbessernden offenen Ökosystem rasch überprüft werden. Dann stellt sich nicht nur die Frage, ob das Flaggschiffmodell stark ist, sondern auch, ob die eingeschränkte Fähigkeit bereits diffundiert.

Die Einordnung des Artikels legt nahe, dass genau das in der KI-gestützten Cybersicherheitsforschung geschieht. Fähigkeiten, die vor Kurzem noch außergewöhnlich wirkten, könnten inzwischen mit geringeren Kosten und mehr Offenheit reproduzierbar sein, als manche Anbieter angedeutet haben.

Die wettbewerbliche Bedeutung für den Modellmarkt

Es gibt auch eine kommerzielle Dimension. Anthropics Positionierung rund um Mythos beruht teilweise auf der Annahme, dass es in einer seltenen Klasse offensiver Cyberfähigkeiten angesiedelt ist. Wenn öffentlich verfügbare oder halb offene Modelle einen Großteil derselben Arbeit approximieren können, verschiebt sich das Wertversprechen.

Das löscht Vorteile bei Zuverlässigkeit, Tiefe oder End-to-End-Automatisierung nicht aus. Aber es schwächt die Erzählung, dass nur ein oder zwei geschützte Systeme sinnvolle autonome Schwachstellenanalysen durchführen können. Für Käufer, Evaluatoren und Sicherheitsforscher könnte das den Benchmarking-Druck über eine breitere Modelllandschaft hinweg beschleunigen.

Es könnte auch die Rolle von Agenten und Toolchains stärken, statt nur die Gewichte eines einzelnen Modells zu betrachten. Eine der in der Quelle beschriebenen Replikationsbemühungen kombiniert Frontier-Modelle mit einem offenen Coding-Agenten, was daran erinnert, dass zusammengesetzte Systeme zunehmend ebenso wichtig sind wie die rohe Fähigkeit eines einzelnen Modells.

Ein schmalerer Mythos, kein Zusammenbruch der Fähigkeit

Der Titel des Quellartikels ist bewusst scharf formuliert, aber die beschriebenen Belege stützen ein präziseres Fazit. Die Mythos-Geschichte bricht nicht zusammen, weil dem Modell Fähigkeiten fehlen. Sie wird eingegrenzt, weil die Beispiele, mit denen seine Einzigartigkeit dramatisiert wurde, nun zumindest teilweise von kleineren und offeneren Alternativen erreicht werden.

Das ist dennoch eine bedeutende Entwicklung. In der KI beruht Status oft ebenso sehr auf relativer Wahrnehmung wie auf absoluter Leistung. Wenn die Aura der Exklusivität schwächer wird, verändert sich das strategische Gespräch.

Für Leser von Developments Today ist die Kernbotschaft diese: Die Frontier bei KI-Cyberfähigkeiten könnte sich schneller ausbreiten, als institutionelle Narrative sie einfangen können. Anthropic mag weiterhin ein leistungsstarkes System haben. Aber wenn unabhängige Gruppen einen Großteil der öffentlichen Vorführungen mit billigeren und offeneren Modellen reproduzieren können, dann handelt die eigentliche Geschichte nicht mehr nur von einem außergewöhnlichen Werkzeug eines einzelnen Labors, sondern von einer Fähigkeitsklasse, die immer schwerer zu monopolisieren ist.

Dieser Artikel basiert auf einer Berichterstattung von The Decoder. Zum Originalartikel.