Mythos von Anthropic: Wenn eine KI tausende Zero‑Days findet, kippt das Sicherheitsgefüge

7. April 2026
5 Min. Lesezeit
Abstrakte Darstellung einer KI, die Softwarecode auf Sicherheitslücken analysiert

1. Überschrift und Einstieg

Die Vorstellung, dass ein einzelnes KI‑Modell in wenigen Wochen tausende Zero‑Day‑Schwachstellen aufspürt, markiert einen Wendepunkt. Mit Mythos präsentiert Anthropic genau diesen Anspruch – und nutzt ihn, um sich als sicherheitsorientierter Akteur im Rennen um Frontier‑Modelle zu positionieren. Doch ein Werkzeug, das systematisch Schwachstellen findet, ist nicht nur Schutzschild, sondern potenziell auch Rammbock.

Für Unternehmen in der DACH‑Region, in denen Legacy‑Systeme, SAP‑Landschaften und offene Software‑Stacks allgegenwärtig sind, ist die Frage nicht akademisch: Wenn KI künftige Sicherheitsdebatten dominiert, wer kontrolliert diese Modelle, wer profitiert – und wo bleibt die europäische Souveränität? Dieser Artikel ordnet Mythos in die größere Sicherheits‑ und Regulierungslage ein und blickt auf die Konsequenzen für Europa.

2. Die Nachricht in Kürze

Laut einem Bericht von TechCrunch hat Anthropic am 7. April 2026 eine Vorabversion seines neuen Frontier‑Modells Mythos für ausgewählte Partner freigegeben. Mythos wird im Rahmen der neuen Sicherheitsinitiative Project Glasswing eingesetzt. Zwölf Partnerorganisationen – darunter Amazon, Apple, Broadcom, Cisco, CrowdStrike, die Linux Foundation, Microsoft und Palo Alto Networks – sollen das Modell für "defensive" Sicherheitsaufgaben nutzen.

Mythos ist ein allgemeines Claude‑Modell mit starken Fähigkeiten im Programmieren und logischen Schlussfolgern. Anthropic gibt an, dass Mythos proprietäre und Open‑Source‑Software nach Schwachstellen durchsucht und dabei in den vergangenen Wochen tausende bislang unbekannte Zero‑Days identifiziert habe, viele davon in zehn bis zwanzig Jahre alter Software. Insgesamt sollen 40 Organisationen Zugang zur Preview erhalten.

TechCrunch erinnert daran, dass Details zu Mythos bereits früher durch ein Datenleck bekannt wurden: Ein Entwurf für einen Blogpost zum intern "Capybara" genannten Modell war in einem öffentlich einsehbaren Data Lake gelandet. Außerdem befindet sich Anthropic in einem Rechtsstreit mit der Trump‑Regierung, nachdem das Pentagon das Unternehmen als Lieferketten‑Risiko eingestuft hat, und kämpfte zuletzt mit einem separaten Leak eigener Quelltexte.

3. Warum das wichtig ist

Wenn ein einzelnes Modell tausende Zero‑Days in kurzer Zeit entdecken kann, verschiebt sich die Statik der IT‑Sicherheit. Bisher waren Zero‑Days vor allem das Ergebnis von Spezialwissen, Fleißarbeit und teuren Forschungsgruppen. Mythos deutet an: Künftig könnte das skalierbare Rechenleistung sein.

Wer profitiert?

Zunächst die großen Anbieter von Betriebssystemen, Cloud‑Plattformen und Unternehmenssoftware – viele von ihnen sind direkt in Project Glasswing involviert. Sie betreiben gigantische Codebasen und komplexe Lieferketten, deren vollständige manuelle Prüfung illusorisch ist. Ein KI‑System, das systematisch Altkode analysiert und Altlasten aufdeckt, verbessert nicht nur die reale Sicherheit, sondern auch die Position gegenüber Aufsichtsbehörden, Kunden und Investoren.

Security‑Firmen wie CrowdStrike oder Palo Alto Networks können Mythos‑ähnliche Fähigkeiten zu einem Differenzierungsmerkmal machen: "kontinuierliche, KI‑gestützte Codehärtung" lässt sich gut verkaufen – insbesondere an regulierte Branchen wie Finanzwesen, kritische Infrastrukturen oder Gesundheitswesen.

Wer gerät ins Hintertreffen?

Kleine und mittlere Unternehmen – also das Rückgrat der DACH‑Wirtschaft – sowie die Maintainer vieler Open‑Source‑Bibliotheken stehen zunächst am Rand. Ihre Software wird möglicherweise von Partnern oder großen Plattformanbietern mit Hilfe solcher Modelle analysiert, aber ihnen selbst fehlen Zugang, Kompetenzen oder Budgets, um den zu erwartenden Berg an Findings abzuarbeiten. Die Gefahr: eine Zweiklassengesellschaft in der Sicherheit, in der Konzerne ihre Angriffsflächen massiv reduzieren, während der Rest weiter improvisiert.

Hinzu kommt ein Machtproblem: Wenn ein US‑Unternehmen tausende kritische Schwachstellen weltweit identifiziert, stellt sich zwangsläufig die Frage, wer Prioritäten und Offenlegungsstrategien festlegt. Welche Lücken werden sofort an Hersteller gemeldet, welche zunächst mit Behörden diskutiert – und was passiert mit Findings, die sicherheitspolitisch interessant sind?

Neue Art von Risiko: KI‑skalierte Schwachstellenforschung

Anthropic selbst weist in internen Dokumenten darauf hin, dass ein solches Modell auch offensiv genutzt werden könnte. Das grundlegende Bild ist klar: Sobald sich zeigt, dass großskalige, generative Modelle systematisch Bugs in komplexen Software‑Stacks finden können, werden andere Akteure denselben Weg gehen – nicht alle mit defensiven Absichten.

Damit wird Mythos zum Symbol einer Entwicklung, die sich nicht mehr zurückdrehen lässt: Künftig werden KI‑Systeme eine zentrale Rolle darin spielen, wie schnell und in welchem Umfang Schwachstellen entdeckt werden – von Verteidigern wie von Angreifern.

4. Der größere Zusammenhang

Mythos ist Teil eines breiteren Trends, in dem sich KI und Cybersicherheit immer stärker überlappen.

Microsoft propagiert bereits seit einiger Zeit "Security Copilot" auf Basis von generativer KI, die Analysten bei Incident Response, Threat Hunting und Log‑Analyse unterstützt. Google wirbt mit Gemini‑gestützten Lösungen zur Malware‑Analyse und zur Automatisierung von SOC‑Abläufen. Start‑ups integrieren LLMs in etablierte Tools wie Static Application Security Testing (SAST), Fuzzing oder Code‑Review‑Plattformen.

Doch bei den meisten dieser Ansätze bleibt der Mensch im Zentrum: KI beschleunigt, erklärt, priorisiert. Anthropic setzt mit Mythos eine andere Akzentuierung: KI als primärer Entdecker unbekannter Schwachstellen in großem Maßstab.

Historische Parallelen gibt es: Als in den 2010er‑Jahren Tools wie Shodan oder Censys aufkamen, wurde es trivial, das gesamte IPv4‑Adressspektrum nach exponierten Diensten abzusuchen. Die Verwundbarkeiten waren nicht neu, aber sie wurden plötzlich massenhaft sichtbar. Verteidiger und Angreifer erfuhren einen Schub – die entscheidende Frage war, wer schneller adaptierte.

Übertragen auf den Code‑Bereich bedeutet Mythos: Wir stehen vor einer Phase, in der jahrzehntelang aufgestaute "Verwundbarkeits‑Schulden" schlagartig sichtbar werden könnten. Unsichere Muster, Altbibliotheken und fehleranfällige Eigenentwicklungen – all das lässt sich mit KI‑Unterstützung in zuvor unvorstellbarem Umfang aufspüren.

Gleichzeitig verschiebt sich die Rollenverteilung im Ökosystem. KI‑Labs wie Anthropic werden zu sicherheitsrelevanten Infrastrukturen. Sie sehen quer über Branchen hinweg, wo sich systemische Schwächen häufen – eine Perspektive, die bislang nationalen CERTs, großen Cloud‑Anbietern oder Branchengremien vorbehalten war. Doch anders als diese unterliegen KI‑Labs bisher kaum spezifischer Regulierung in Bezug auf Schwachstellenmanagement.

5. Die europäische / DACH‑Perspektive

Für Europa kommt Mythos zu einem Zeitpunkt, an dem mehrere große Regulierungsprojekte zusammenlaufen: der Digital Services Act (DSA), der Digital Markets Act (DMA), vor allem aber die NIS2‑Richtlinie, der Cyber Resilience Act (CRA) und der EU AI Act.

  • CRA & NIS2 verpflichten Hersteller und Betreiber kritischer Systeme zu systematischem Schwachstellenmanagement und sicherer Produktentwicklung.
  • Der EU AI Act wird hochriskante KI‑Systeme strengen Anforderungen unterwerfen – darunter voraussichtlich auch sicherheitskritische Anwendungen.

Auf dem Papier sind KI‑gestützte Audits wie Mythos genau das, was Regulierer fordern. Sie könnten Herstellern helfen, die neuen Pflichten effizient zu erfüllen. Für die DACH‑Region mit ihren vielen Hidden Champions und komplexen OT/IT‑Landschaften wirkt das attraktiv.

Gleichzeitig verschärft sich das Souveränitätsdilemma:

  • Daten‑ und Quellcode‑Schutz. Deutsche, österreichische oder Schweizer Unternehmen und Behörden sind zu Recht zurückhaltend, wenn es darum geht, sensiblen Code an US‑basierte Dienste zu übermitteln – Stichwort Schrems‑Rechtsprechung, CLOUD Act und das hohe Datenschutzbewusstsein in der Region.
  • Fehlende europäische Alternativen. Unter den Partnern von Project Glasswing taucht kein großer europäischer Cloud‑ oder KI‑Anbieter auf. Damit droht Europa, bei einem zentralen Security‑Baustein erneut zum Technologie‑Importeur zu werden.

Für die deutsche und gesamte DACH‑Sicherheitsbranche ist Mythos daher Mahnung und Chance zugleich. Mahnung, weil klar wird, wie schnell US‑Akteure KI‑gestützte Verteidigung industrialisieren. Chance, weil der Bedarf an europäischen, rechtskonformen Alternativen offensichtlich ist – idealerweise eng verzahnt mit BSI, nationalen CERTs und der künftigen EU‑Cybersicherheitskompetenz‑Zentren.

6. Blick nach vorn

Was ist in den nächsten Jahren zu erwarten?

  1. Ein Wettrennen um KI‑gestützte Schwachstellensuche. Andere Frontier‑Labs und etablierte Security‑Anbieter werden ähnliche Fähigkeiten entwickeln oder zumindest vermarkten. Nicht alle werden so leistungsfähig sein wie Mythos – aber der Trend ist gesetzt.
  2. Kommerzialisierung für den Massenmarkt. Heute ist Mythos nur als Preview für 40 Organisationen verfügbar. In 12–24 Monaten dürften Managed‑Services entstehen, die KMU einen "Mythos‑light"‑Zugang bieten: automatisierte Code‑Audits als Cloud‑Service, eingebettet in DevSecOps‑Pipelines.
  3. Regulatorische Reaktionen. In der EU werden Datenschutzbehörden, Aufsichtsstellen und Cyber‑Agenturen genau hinschauen, wie und wo KI‑Modelle auf Quellcode zugreifen. Themen wie Audit‑Trails, Model‑Governance und Transparenz der Findings werden auf die Agenda kommen.
  4. Sicherheits‑Governance in Unternehmen. CISOs in der DACH‑Region müssen klären, wie sie KI‑gestützte Findings in bestehende Prozesse wie Threat‑Modeling, Patch‑Management und Secure Coding integrieren – und welche neuen Verantwortlichkeiten entstehen, wenn eine KI plötzlich zehntausend Findings ausspuckt.

Die zentrale offene Frage lautet: Verkürzt KI tatsächlich die Zeitspanne zwischen Entdeckung und Behebung von Schwachstellen – oder verschärft sie das Problem, indem sie mehr Lücken schneller sichtbar macht, als Organisationen sie schließen können? Insbesondere Mittelständler dürften ohne zusätzliche Unterstützung (Tools, Services, Förderprogramme) schnell überfordert sein.

7. Fazit

Mythos markiert den Beginn einer Ära, in der leistungsfähige KI‑Modelle systematisch durch Codebasen pflügen und Schwachstellen in einer Größenordnung aufdecken, die menschliche Teams allein nicht bewältigen können. Im Idealfall reduziert das langfristig das systemische Cyber‑Risiko – vorausgesetzt, Zugang und Governance werden fair und transparent geregelt. Bleiben solche Fähigkeiten jedoch in der Hand weniger US‑Akteure, droht Europa in eine neue Abhängigkeit zu geraten: Dieses Mal nicht nur bei Cloud und Plattformen, sondern beim Wissen über die eigenen Verwundbarkeiten. Die Frage an Politik und Wirtschaft in der DACH‑Region lautet daher: Wollen wir beim sicherheitskritischen Einsatz von KI Gestalter oder nur Abnehmer sein?

Kommentare

Hinterlasse einen Kommentar

Noch keine Kommentare. Sei der Erste!

Ähnliche Beiträge

Bluesky-Oberfläche mit Fehlermeldung und Posts, die scherzhaft KI-„Vibe Coding“ die Schuld geben
KI

Wenn der Dienst streikt, ist die KI schuld: Bluesky, „Vibe Coding“ und das bröckelnde Vertrauen in Software

Bluesky zeigt, wie „Vibe Coding“ zum Sündenbock für KI‑gestützte Entwicklung wird – und welche Folgen das für Vertrauen, DACH‑Markt und EU‑Regulierung hat.

5 Min. Lesezeit
Nahaufnahme moderner Siliziumwafer in einer hochautomatisierten Chipfabrik
KI

Intel wird Musks Fabrikpartner: Was Terafab für die Machtverteilung bei KI-Chips bedeutet

Intel steigt bei Elon Musks Terafab ein. Analyse der Folgen für KI-Chips, Intels Foundry-Strategie und Europas Anspruch auf digitale Souveränität.

5 Min. Lesezeit
Reihen von Serverschränken in einem Rechenzentrum als Symbol für wachsende KI‑Infrastruktur
KI

Anthropic wird zum Stromfresser: Was der 3,5‑GW‑Deal mit Google und Broadcom wirklich bedeutet

Anthropics 3,5‑GW‑Deal mit Google und Broadcom zeigt: Engpass der KI sind Strom und Chips. Analyse der Folgen für Wettbewerb und Europa.

5 Min. Lesezeit

Bleib informiert

Erhalte die neuesten KI- und Tech-Nachrichten direkt in dein Postfach.