Auf den Punkt: Projekt Glasswing hat in einem Monat über 10.000 kritische Sicherheitslücken in wichtiger Software gefunden. Der Engpass verlagert sich von der Erkennung zur Verifizierung und Behebung von Schwachstellen.
Im Rahmen des Projekts Glasswing wurden in nur einem Monat über zehntausend kritische Sicherheitslücken in weltweit wichtiger Software aufgedeckt. Mit Hilfe des Claude-Mythos-Vorschaumodells und etwa 50 Partnerorganisationen verändert sich die Geschwindigkeit der Schwachstellenerkennung fundamental.
Das vor einem Monat gestartete Projekt Glasswing verfolgt das ehrgeizige Ziel, die kritischste Software der Welt vor missbräuchlicher Nutzung durch immer leistungsfähigere KI-Modelle zu schützen. Die bisherigen Ergebnisse sind beeindruckend: Zusammen mit rund 50 Partnern hat das Team bereits über zehntausend Sicherheitslücken mit hohem oder kritischem Schweregrad entdeckt.
Der Engpass in der Softwaresicherheit verschiebt sich damit grundlegend. Während der Fortschritt früher durch die Geschwindigkeit der Schwachstellenerkennung begrenzt war, sind es nun die Verifikation, Offenlegung und das Einspielen von Sicherheitspatches, die zum limitierenden Faktor werden.
Die beteiligten Organisationen, darunter Betreiber kritischer Internetinfrastruktur, berichten von bemerkenswerten Erfolgen: Viele Partner haben bereits Hunderte kritische Lücken in ihren Systemen gefunden. Cloudflare etwa identifizierte 2.000 Fehler (davon 400 kritisch) in ihren Kernsystemen – mit einer Quote falscher Positiver, die besser ausfällt als bei menschlichen Testern.
Externe Tests bestätigen diese Leistungsfähigkeit: Großbritannien’s AI Security Institute berichtet, dass Mythos Preview als erstes Modell ihre Cyberbereichs-Simulationen vollständig bewältigt. Mozilla entdeckte mit dem Modell über 271 Sicherheitslücken in Firefox 150 – mehr als zehnmal mehr als mit dem Vorgängermodell Claude Opus 4.6 in Firefox 148.
Das Projekt folgt dabei etablierten Sicherheitsstandards: Neue Lücken werden 90 Tage nach ihrer Entdeckung (oder 45 Tage nach verfügbarem Patch) offengelegt, um Nutzern Zeit zum Aktualisieren zu geben. Detaillierte technische Erkenntnisse werden erst nach breiter Patch-Verbreitung veröffentlicht.
Quelle: www.anthropic.com