Anthropic hat mit Claude Mythos Preview ein Modell vorgestellt, das Tausende bisher unbekannte Sicherheitslücken in kritischer Software identifiziert hat — darunter eine 27 Jahre alte Schwachstelle in OpenBSD. Die Reaktion: kein öffentlicher Release, sondern Project Glasswing, ein Konsortium aus über 40 Technologieunternehmen, das mit dem Modell arbeitet, bevor schlechtere Akteure es können. Das ist keine Selbstvermarktung. Es ist eine institutionelle Weichenstellung — und für die Governance autonomer KI-Agenten von grundsätzlicher Bedeutung.
Die Ausgangslage: Nicht trainiert für Sicherheit — und trotzdem
Am 7. April 2026 stellte Anthropic Claude Mythos Preview der Öffentlichkeit vor. Die erste wichtige Klarstellung: Mythos ist kein Spezialsystem für Cybersicherheit. Es ist ein allgemeines Sprachmodell — ein Nachfahre der Claude-Architektur — dessen Fähigkeiten in Coding und strukturiertem Schlussfolgern zufällig, aber konsequent, in Domänen hineinragen, die bisher als Hochsicherheitszone menschlicher Expertise galten.
Anthropics Frontier Red Team hat Mythos in den Wochen vor der Ankündigung gegen reale Software eingesetzt: alle gängigen Betriebssysteme, alle großen Browser, eine Reihe weiterer kritischer Infrastrukturkomponenten. Das Ergebnis war eine Liste von Tausenden Zero-Day-Schwachstellen — also Lücken, die den Entwicklern selbst nicht bekannt waren. Darunter ein 27 Jahre alter Fehler in OpenBSD, einem Betriebssystem, das seinen Ruf gerade auf seiner Sicherheitsreputabilität aufgebaut hat.
Der technische Bericht auf Anthropics Red-Team-Blog zeigt, wie Mythos dabei vorging: nicht durch schlichtes Pattern-Matching auf bekannte Exploit-Klassen, sondern durch ein iteratives, hypothesengetriebenes Vorgehen — Container starten, Code scannen, Schwachstellen hypothetisieren, testen, eskalieren. Ein Workflow, der einem erfahrenen Penetrationstester ähnelt, aber mit einem anderen Zeithorizont und Skalierungsverhalten operiert.
Project Glasswing: Institutionelle Antwort statt Markteinführung
Wie reagiert ein Unternehmen, wenn sein Modell die eigenen Erwartungen übertrifft — in einer Richtung, die nicht harmlos ist? Anthropic hat sich für einen ungewöhnlichen Weg entschieden: keinen öffentlichen Release, sondern Project Glasswing — ein koordiniertes Zugangsprogramm mit zwölf Kernpartnern (Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft, Palo Alto Networks u.a.) und insgesamt über 40 Organisationen, die Mythos für defensive Sicherheitsarbeit einsetzen.
Der Name ist eine Metapher: Der Glasswing-Schmetterling hat transparente Flügel — Schwachstellen in Software sind relativ unsichtbar, bis sie jemand aufdeckt. Das Programm soll Defenders den Vorsprung verschaffen, den Angreifer sonst hätten. Anthropic stellt bis zu 100 Millionen Dollar an Nutzungsguthaben bereit sowie 4 Millionen Dollar an direkten Zuwendungen für Open-Source-Sicherheitsorganisationen.
Das Argument: Mythos-ähnliche Fähigkeiten werden sich verbreiten — bei anderen Laboren, in Open-Weight-Modellen, schließlich bei staatlichen und kriminellen Akteuren. Das Zeitfenster für eine koordinierte defensive Reaktion ist endlich. Wer dieses Fenster nutzt, könnte einen strukturellen Vorteil aufbauen, der länger hält als das Modell selbst.
Die AISLE-Einwände: Das Modell ist nicht der Burggraben
Gegen die Dramatisierung melden sich Stimmen, die systematisch prüfen statt paraphrasieren. Das Sicherheitsforschungsunternehmen AISLE hat Anthropics Showcase-Schwachstellen reproduziert — nicht mit Mythos, sondern mit kleinen, frei verfügbaren Open-Weights-Modellen. Acht von acht Modellen erkannten Mythos’ Leitexploit für FreeBSD; ein Modell mit 3,6 Milliarden aktiven Parametern zu Kosten von 0,11 Dollar pro Million Tokens fand den Kern der 27 Jahre alten OpenBSD-Lücke.
Das Fazit von AISLE ist strukturell präzise: Die entscheidende Variable ist nicht die Modellgröße, sondern das System — das Scaffold, die eingebettete Sicherheitsexpertise, das organisationale Kontext-Wissen. “The moat is the system, not the model.”
Das verändert die Bewertung, ohne sie zu entkräften. Es bedeutet: Die Gefahr liegt nicht exklusiv in Mythos, sondern in der Konfiguration von Kontext, Tooling und Zielsetzung, die jeden ausreichend kompetenten Akteur in die Lage versetzt, ähnliche Ergebnisse zu erzielen. Mythos ist ein Signalereignis — nicht wegen seiner Einzigartigkeit, sondern wegen der Transparenz, mit der Anthropic die Implikationen benennt.
Die politische Dimension: Von Powell bis Glasswing
Die institutionellen Reaktionen sprechen für sich. Fed-Chef Jerome Powell und Finanzminister Scott Bessent beriefen in der Woche nach der Ankündigung ein Notfalltreffen mit den CEOs der größten US-Banken ein, um über die systemischen Cyberrisiken zu informieren. Anwesend: die Chefs von Citigroup, Morgan Stanley, Bank of America, Wells Fargo, Goldman Sachs. Nicht dabei: JPMorgans Jamie Dimon — wegen eines Terminkonflikts.
Anthropic selbst befindet sich in einer widersprüchlichen Lage: Das Unternehmen führt Gespräche mit CISA und dem Center for AI Standards and Innovation über Mythos’ Fähigkeiten — und klagt gleichzeitig gegen das US-Verteidigungsministerium, das Anthropic als Lieferketten-Risiko für die nationale Sicherheit eingestuft hat.
Diese Konstellation ist analytisch interessant: Ein Unternehmen, das aktiv Governance-Verantwortung übernimmt, wird von staatlicher Seite gleichzeitig als Sicherheitsrisiko klassifiziert. Das ist kein Widerspruch — es ist der strukturelle Normalzustand einer Technologie, die schneller skaliert als die Institutionen, die sie regulieren sollen.
Was das für KI-Agenten bedeutet
Mythos ist kein Agent im engeren Sinne. Es ist ein Modell, das in einem agentischen Workflow eingesetzt wird — Werkzeugzugriff, iterative Hypothesenbildung, Umgebungsinteraktion. Die Unterscheidung ist nicht akademisch.
Für die Governance autonomer KI-Agenten legt Mythos mehrere Probleme offen:
Erstens das Eskalationsproblem. Ein Agent, der bei der Suche nach Schwachstellen schrittweise erweiterte Rechte erlangt — um Hypothesen zu testen, um Exploits zu validieren, um Fixes zu verifizieren — bewegt sich auf einem Pfad, auf dem die Grenze zwischen defensiver Analyse und aktivem Eingriff nicht immer klar ist. Mythos operierte in kontrollierten Umgebungen. Produktiv-Agenten werden das nicht immer tun.
Zweitens das Authentizitätsproblem. Wer gibt einem Agenten den Auftrag? Mit welcher Legitimation? Project Glasswing löst dieses Problem durch institutionelle Rahmung — Partnerverträge, Nutzungsguthaben, koordinierte Disclosure-Prozesse. Für generische Agentendeployments fehlt dieser Rahmen. Die Frage, wem ein Agent dient und wer für seine Handlungen haftet, ist ungeklärt.
Drittens das Systemkompetenzproblem. AISLEs Befund, dass das System entscheidender ist als das Modell, bedeutet im Umkehrschluss: Akteure mit eingebetteter Sicherheitsexpertise und gutem Scaffolding können auch mit kleineren Modellen erheblichen Schaden anrichten. KI-Agenten-Governance, die sich auf Modell-Capabilities konzentriert, greift strukturell zu kurz.
Viertens das Zeitfensterproblem. Anthropics Kalkül bei Project Glasswing ist im Kern ein Rennen gegen die Verbreitung ähnlicher Fähigkeiten. Dieses Zeitfenster gilt nicht nur für Sicherheitslücken-Scanning. Es gilt für jede Domäne, in der autonome Agenten operative Entscheidungen treffen — Finanzmarktoperationen, Infrastrukturmanagement, medizinische Diagnose. Die institutionellen Rahmenbedingungen werden regelmäßig hinter der technologischen Entwicklung zurückbleiben.
Fazit: Mythos als Institutionalisierungsanlass
Die Bewertung von Mythos sollte weder die Dramatisierung übernehmen noch in Entwarnung verfallen. Das Modell ist real; seine Fähigkeiten sind dokumentiert; die Reaktionen auf Regulierungs- und Finanzmarktebene sind keine Überreaktion.
Was Mythos zeigt, ist strukturell: Wenn ein allgemeines Modell unbeabsichtigt Expertenniveau in sicherheitskritischen Domänen erreicht, ist das kein Betriebsunfall — es ist die logische Konsequenz eines Skalierungsparadigmas, das auf breite Fähigkeitsgeneralisierung setzt. Die institutionelle Antwort — kontrollierter Zugang, koordinierte Disclosure, staatliche Einbindung — ist der richtige Reflex. Ob er ausreicht, ist eine andere Frage.
Für die Theorie des institutionell situierten Agenten ist Mythos ein Grenzfall: ein Modell, das in agentischen Workflows erheblichen Handlungsspielraum entfaltet, ohne dass die institutionellen Zurechnungsstrukturen dafür vorhanden sind. Project Glasswing ist der Versuch, diese Struktur nachträglich zu schaffen. Ob das als Blaupause taugt — für andere Domänen, andere Akteure, andere Zeitfenster — bleibt die offene Frage.
Ralf Keuper
Quellen:
Primärquellen (Anthropic)
- Anthropic – Project Glasswing (Hauptankündigung) https://www.anthropic.com/glasswing
- Anthropic Frontier Red Team – Technischer Bericht https://red.anthropic.com/2026/mythos-preview/
Presseberichterstattung
- TechCrunch – Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiativehttps://techcrunch.com/2026/04/07/anthropic-mythos-ai-model-preview-security/
- CNBC – Anthropic limits Mythos AI rollout over fears hackers could use model for cyberattackshttps://www.cnbc.com/2026/04/07/anthropic-claude-mythos-ai-hackers-cyberattacks.html
- CNBC – Powell, Bessent discussed Anthropic’s Mythos AI cyber threat with major U.S. bankshttps://www.cnbc.com/2026/04/10/powell-bessent-us-bank-ceos-anthropic-mythos-ai-cyber.html
- Fortune – Anthropic’s Mythos is a wake-up call, but experts say the era of AI-driven hacking is already herehttps://fortune.com/2026/04/10/anthropic-mythos-ai-driven-cybersecurity-risks-already-here/
- Fortune – Bessent and Powell convened Wall Street CEOs to address Anthropic’s Mythos modelhttps://fortune.com/2026/04/10/bessent-powell-anthropic-mythos-ai-model-cyber-risk/
- Axios – Anthropic withholds Mythos Preview model because its hacking is too powerfulhttps://www.axios.com/2026/04/07/anthropic-mythos-preview-cybersecurity-risks
- Platformer – Why Anthropic’s new model has cybersecurity experts rattled https://www.platformer.news/anthropic-mythos-cybersecurity-risk-experts/
Deutschsprachige Presseberichterstattung
- heise online – Anthropic-KI Mythos: Dringende Warnung an US-Banken, BSI erwartet Umwälzungenhttps://www.heise.de/news/Anthropic-KI-Mythos-Dringende-Warnung-an-US-Banken-BSI-erwartet-Umwaelzungen-11251450.html
- heise online – Anthropics neues KI-Modell Mythos: Zu gefährlich für die Öffentlichkeithttps://www.heise.de/news/Anthropics-neues-KI-Modell-Mythos-Zu-gefaehrlich-fuer-die-Oeffentlichkeit-11248034.html
- WirtschaftsWoche – Anthropic-KI Claude Mythos findet Schwachstellen: BSI warnt vor weitreichenden Folgenhttps://www.wiwo.de/technologie/digitale-welt/anthropic-ki-claude-mythos-findet-schwachstellen-bsi-warnt-vor-weitreichenden-folgen/100215799.html
- ZDFheute – Claude Mythos von Anthropic: BSI zeigt sich besorgt https://www.zdfheute.de/politik/deutschland/ki-anthropic-claude-mythos-schwachstellen-software-bsi-100.html
- CIO.de – BSI alarmiert: Anthropic-KI sprengt klassische IT-Sicherheit https://www.cio.de/article/4157024/bsi-alarmiert-anthropic-ki-sprengt-klassische-it-sicherheit.html
- ORF.at – KI-Modell Claude Mythos: Spitzenpolitiker warnen US-Banken https://orf.at/stories/3426518/
Kritische Einordnung / Forschung
- AISLE Security Research – AI Cybersecurity After Mythos: The Jagged Frontier https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier