Am 7. April hat Anthropic sein Mythos-Modell angekündigt: ein KI-System, das Sicherheitslücken in Software findet, und zwar schneller und gründlicher als Menschen. Anthropic sagte, das Modell sei so gut darin, dass man es nicht öffentlich veröffentlichen könne. Zu gefährlich. Zu viel Potenzial für Angriffe auf Unternehmen und kritische Infrastruktur. Das Modell werde nur an eine kleine Gruppe ausgewählter Unternehmen weitergegeben, darunter Apple, Amazon, Google, Microsoft und etwa 35 weitere Organisationen. Dieses Programm heißt intern „Project Glasswing“.
Am selben Tag, an dem Anthropic das ankündigte, hatte eine Gruppe unbefugter Nutzer bereits Zugang.
Wie es passiert ist
Bloomberg berichtete am 21. April über den Vorfall. Eine kleine Gruppe in einem privaten Discord-Kanal hatte Zugang zu Mythos, und zwar durch eine Kombination aus drei Faktoren: Ein Mitglied der Gruppe war als Auftragnehmer für ein Drittunternehmen tätig, das für Anthropic arbeitet. Dieses Mitglied hatte damit legitimen Zugang zu bestimmten Anthropic-Systemen. Die Gruppe nutzte diesen Zugang und kombinierte ihn mit Wissen über Anthropics URL-Muster, das aus einem früheren Datenleck bei einem anderen KI-Unternehmen stammte. Dann rieten sie einfach, wo Mythos gehostet wird. Sie lagen richtig.
Die Gruppe hat das Modell seitdem regelmäßig genutzt. Nicht für Angriffe, nach allem was bekannt ist, sondern aus Interesse am Modell selbst. Anthropic erklärte, man untersuche den Vorfall und habe bisher keine Hinweise darauf, dass die eigenen Systeme betroffen seien. Der Zugang scheint auf die Drittunternehmer-Umgebung beschränkt geblieben zu sein.
Was Mythos kann — und was davon Marketing ist
Anthropic hatte Mythos Preview als eines der fähigsten KI-Systeme zur Schwachstellenanalyse beschrieben, das das Unternehmen je gebaut hat. Das Modell fand laut Anthropic eine 27 Jahre alte Sicherheitslücke in OpenBSD, einem Betriebssystem, das für seine Sicherheit bekannt ist. Mozilla nutzte eine Vorschauversion, um 271 Sicherheitslücken im Firefox-Browser zu finden und zu beheben.
Diese Ergebnisse nehme ich ernst. Nicht weil Anthropic es sagt, sondern weil echte, bisher unentdeckte Lücken in gut auditierten, reifen Codebases schwerer zu fälschen sind als Benchmark-Zahlen. Das lässt sich nachprüfen.
„Zu gefährlich für die Öffentlichkeit“ hingegen ist mit ziemlicher Sicherheit aufgebauscht. Das stärkste Gegenargument ist das Modell der Veröffentlichung selbst: Wenn Mythos wirklich eine existenzielle Bedrohung wäre, würde man es nicht an 40 Organisationen mit tausenden Mitarbeitern und hunderten Auftragnehmern weitergeben. Man würde es intern halten. Die kontrollierte Weitergabe zeigt, dass Anthropic das Risiko für handhabbar hält — was schwer vereinbar ist mit der „beispiellosen Gefahr“ aus den Pressemitteilungen.
Was Mythos wahrscheinlich wirklich ist: ein System, das den Aufwand für automatisierte Schwachstellensuche deutlich senkt. Real und relevant. Aber kein kategorischer Sprung, der Angriffe ermöglicht, die vorher schlicht unmöglich waren. Die Fähigkeiten, die „zu gefährlich für die Öffentlichkeit“ begründen sollen, eröffnen nebenbei auch den Zugang zu Banken, Ministerien und Sicherheitsbehörden. Wer zu dem Treffen einladen kann, das Finanzminister Bessent mit den großen Banken gemacht hat, sitzt an den richtigen Tischen. Das hat einen Wert jenseits der eigentlichen Cybersicherheit.
Das strukturelle Problem
Der Sicherheitsforscher Ram Varadarajan, Chef des Unternehmens Acalvio Technologies, brachte das Problem in einem Kommentar auf den Punkt: „access controls are a policy, not an architecture — and policies fail.“ Zugriffskontrollen sind eine Regel, kein Fundament. Und Regeln brechen.
Das ist genau das, was hier passiert ist. Anthropic hat die Verbreitung von Mythos auf etwa 40 Organisationen beschränkt, um sicherzustellen, dass das Modell nicht in die falschen Hände gerät. Aber 40 Organisationen bedeuten tausende von Mitarbeitern, und tausende von Mitarbeitern bedeuten hunderte von Auftragnehmern. Jeder Auftragnehmer ist ein potenzieller Zugangspunkt. Je größer der „elitäre Kreis“ wird, desto mehr solcher Punkte entstehen.
Das ist kein Fehler von Anthropic im engeren Sinne. Es ist ein strukturelles Problem des Konzepts „kontrollierte Veröffentlichung“. Die Idee: Man gibt gefährliche Technologie an eine kleine, vertrauenswürdige Gruppe weiter, die damit verantwortungsvoll umgeht. Das funktioniert für sehr kleine Gruppen unter sehr direkter Kontrolle. Es funktioniert nicht für Unternehmensökosysteme mit Zulieferern und Subunternehmern.
Die Ironie
Indem Anthropic Mythos als „zu gefährlich für die Öffentlichkeit“ vermarktete, hat das Unternehmen das Modell zum attraktivsten Ziel in der KI-Welt gemacht. Jede Gruppe, die sich für neue Modelle interessiert, hatte nun einen guten Grund, genau dieses zu finden.
Und dann ist da die Frage, was dieser Vorfall eigentlich beweist. Die Gruppe, die Zugang hat, nutzt Mythos nach allem was bekannt ist nicht für Angriffe. Sie ist an Modellen interessiert, nicht an Chaos. Das ist der beste denkbare Fall. Aber wenn schon eine Discord-Gruppe mit einem einzigen Insider-Kontakt und einem URL-Rate-Spiel Zugang bekommt, dann ist die Annahme, dass staatliche Akteure, die systematisch nach Zugängen suchen, keinen haben, schwer aufrechtzuerhalten.
Anthropic hat ein Modell gebaut, das Sicherheitslücken findet. Dann hat es selbst eine hinterlassen. Nicht in der KI, sondern in der Lieferkette darum.