Auf den Punkt: KI-Modelle finden Schwachstellen nun zehnfach schneller als bisherige Methoden, doch die Branche muss ihre Verifizierungs- und Patch-Prozesse beschleunigen, um nicht selbst zum Risiko zu werden.
Das Anthropic-Projekt Glasswing hat in seinen ersten vier Wochen mit rund 50 Partnern über zehntausend kritische oder hochgradige Schwachstellen in weltweit kritischer Software entdeckt. Dabei nutzt das System Claude Mythos Preview, ein Sprachmodell, das sich speziell auf Sicherheitsfragen auslegt.
Seit dem Start von Project Glasswing im April 2026 hat sich ein zentrales Problem der Softwaresicherheit verschärft: Während die Suche nach Schwachstellen lange der begrenzende Faktor war, ist es nun die Geschwindigkeit der Verifizierung, Meldung und Behebung. Die beteiligten Partner — darunter Infrastruktur-Anbieter wie Cloudflare — berichten von einer Steigerung ihrer Bug-Detection-Rate um das Zehnfache oder mehr. Cloudflare selbst verzeichnete 2.000 Bugs in seinen kritischen Systemen, davon 400 mit hohem oder kritischem Schweregrad, mit einer falsch-positiv-Rate, die das Unternehmen als besser als menschliche Tester bewertet.
Externe Tests bestätigen Mythos Previews Leistung: Das britische AI Security Institute berichte, dass Mythos Preview als erstes Modell beide ihrer Cyber-Range-Simulationen end-to-end gelöst habe. Mozilla fand während Tests an Firefox 150 über 271 Schwachstellen — mehr als zehnmal so viele wie in Firefox 148 mit Claude Opus 4.6. Die Plattform XBOW beschreibt Mythos Preview als signifikanten Sprung gegenüber bestehenden Modellen in ihrem Web-Exploit-Benchmark mit beispiellos hoher Präzision. Akademische Benchmarks wie ExploitBench und ExploitGym zeigen Mythos Preview als stärksten Performer.
Anthropic folgt beim Umgang mit den Funden etablierten Disclosure-Regeln: Schwachstellen werden 90 Tage nach ihrer Entdeckung offenbart — oder etwa 45 Tage nach Vorliegen eines Patches. Dies soll Nutzern Zeit zur Aktualisierung geben, bevor Angreifer die Lücken ausnutzen. Konkrete Details zu Mythos Previews Funden werden daher erst nach ausreichender Patch-Verbreitung veröffentlicht, um nicht zwischenzeitlich Risiken zu schaffen.
Die hohe Quote an Schwachstellen-Detektionen bei grundlegender Internet- und Infrastruktur-Software reduziert Risiken für Milliarden von Endbenutzern, die auf diese Software angewiesen sind. Zugleich zeigt sich: KI-gestützte Schwachstellensuche verlangt nach neuen Prozessen in der Koordination von Sicherheitsforschung und Softwareentwicklung.
Quelle: ainews.lumi-systems.io · Erschienen 23. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.