Auf den Punkt: Anthropics KI-Modell Claude Mythos hat durch das Projekt Glasswing über 10.000 Sicherheitslücken in kritischer Software entdeckt. 1.094 dieser Schwachstellen sind als hochkritisch eingestuft. Das Unternehmen fordert Entwickler auf, ihre Patch-Zyklen zu beschleunigen und Security Professionals zu schulen.
Das KI-Unternehmen Anthropic hat bekannt gegeben, dass sein Projekt Glasswing mehr als 10.000 Sicherheitslücken mit hohem oder kritischem Schweregrad in weltweit genutzter Software aufgedeckt hat. Der Claude-Mythos-Modell wird dabei von etwa 50 Partnern zur Vulnerabilitäts-Suche eingesetzt.
Das Projekt Glasswing von Anthropic ist eine Cybersecurity-Initiative, bei der ausgewählte Partner Zugang zu Claude Mythos Preview erhalten – einem hochmodernen KI-Modell mit der Fähigkeit, Schwachstellen in weit verbreiteter Software zu identifizieren. Von über 10.000 entdeckten Lücken wurden 6.202 als kritische Sicherheitsmängel in mehr als 1.000 Open-Source-Projekten klassifiziert. Bei der nachfolgenden Analyse erwiesen sich 1.726 als echte Treffer, von denen 1.094 als kritisch eingestuft wurden.
Ein besonders kritisches Beispiel ist eine Schwachstelle in WolfSSL (CVE-2026-5194, CVSS-Punktzahl: 9,1), die es Angreifern ermöglichen könnte, Zertifikate zu fälschen und sich als legitimer Dienst auszugeben. Bislang wurden 97 dieser Sicherheitslücken gepatcht und 88 Sicherheitshinweise veröffentlicht.
Anthropic weist auf eine zentrale Herausforderung hin: Das Finden von Sicherheitslücken ist vergleichsweise einfach, während deren Behebung erheblich aufwendiger ist. Dieser Entwicklung trägt auch Microsoft Rechnung – der Softwaregigant gibt bekannt, dass er kontinuierlich mehr Patches pro Monat veröffentlichen wird.
Das KI-Modell zeigt auch über die reine Vulnerabilitätserkennung hinaus Nutzen: Ein Glasswing-Partner, eine Bank, nutzte Mythos Preview, um eine betrügerische Überweisung in Höhe von 1,5 Millionen Dollar zu verhindern, nachdem ein unbekannter Bedrohungsakteur das E-Mail-Konto eines Kunden kompromittiert hatte.
Angesichts der Tatsache, dass ähnliche Modelle in naher Zukunft breiter verfügbar werden könnten, fordert Anthropic Software-Entwickler auf, ihre Patch-Zyklen zu verkürzen. Das Unternehmen hat zudem ein „Cyber Verification Program“ gestartet, das Sicherheitsfachleuten den Zugang zu seinen Modellen ohne Sicherheitsvorkehrungen für legitime Zwecke wie Vulnerabilitätsforschung, Penetrationstests und Red-Teaming ermöglicht – ähnlich wie OpenAIs „Daybreak“-Programm.
Modelle wie Mythos Preview und GPT-5.5-Cyber werden der Öffentlichkeit bislang vorenthalten, da ausreichende Schutzmaßnahmen gegen Missbrauch in großem Maßstab noch nicht vorhanden sind.