Einleitung: Ein Modell, das zu gefährlich für die Öffentlichkeit ist
Am 7. April 2026 kündigte Anthropic etwas an, das es in der Geschichte der KI-Branche so noch nicht gegeben hatte: ein Modell, das als zu gefährlich für eine öffentliche Veröffentlichung eingestuft wird. Claude Mythos Preview – so der offizielle Name – ist nach Angaben des Unternehmens in der Lage, Sicherheitslücken in nahezu jeder Software autonom zu finden und auszunutzen. Statt einer breiten Veröffentlichung erhält nur eine ausgewählte Gruppe von Unternehmen Zugang, ausschliesslich zu defensiven Zwecken.
Die Ankündigung löste eine Debatte aus, die weit über die KI-Branche hinausgeht. US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell beriefen noch am selben Tag ein Notfall-Meeting mit Bankenchefs ein. Cisco-Präsident Jeetu Patel nannte es "a very, very big deal". Gleichzeitig warnen Kritiker vor einem gut orchestrierten Marketingmanöver. Dieser Artikel versucht, beide Perspektiven fair darzustellen – auf Basis der verfügbaren technischen Dokumentation und der Reaktionen aus der Fachwelt.
Wie Mythos bekannt wurde: Ein weiteres Datenleck bei Anthropic
Die Geschichte von Claude Mythos beginnt nicht mit einer geplanten Ankündigung, sondern mit einem Datenleck. Am 26. März 2026 berichtete Fortune, dass Anthropic in einem öffentlich zugänglichen Datenspeicher versehentlich einen Entwurf eines Blog-Posts hinterlassen hatte, der die Existenz und Fähigkeiten des neuen Modells beschrieb. Insgesamt waren rund 3.000 unveröffentlichte Assets öffentlich abrufbar – entdeckt von Roy Paz (LayerX Security) und Alexandre Pauwels (Universität Cambridge).
Anthropic bestätigte den Vorfall als "human error" in der Konfiguration des Content-Management-Systems und entfernte den öffentlichen Zugang. Es war nicht das erste Mal: Bereits im März 2026 hatte Anthropic versehentlich Teile des Claude Code-Quellcodes geleakt. Das Muster wiederholt sich, und es wirft Fragen über interne Sicherheitsprozesse auf – ausgerechnet bei einem Unternehmen, das sich als Vorreiter verantwortungsvoller KI-Entwicklung positioniert.
Aus den geleakten Dokumenten ging hervor, dass das Modell intern auch unter dem Namen "Capybara" bekannt war – eine neue Modell-Tier, die über den bisherigen Opus-Modellen angesiedelt ist. Der geleakte Entwurf beschrieb das Modell als "by far the most powerful AI model we've ever developed" und warnte explizit vor "unprecedented cybersecurity risks".
Was Mythos kann: Technische Fakten aus dem Red Team Blog
Anthropics Frontier Red Team hat am 7. April 2026 einen detaillierten technischen Bericht veröffentlicht. Die wichtigste Aussage darin: Claude Mythos Preview wurde nicht explizit für Cybersecurity trainiert. Die Fähigkeiten entstanden als emergente Eigenschaft aus allgemeinen Verbesserungen in Code-Verständnis, Reasoning und Autonomie. Das macht sie schwerer vorherzusagen – und schwerer zu begrenzen.
Drei konkrete Beispiele aus dem Red Team Report
Das erste Beispiel betrifft OpenBSD, ein Betriebssystem, das primär für seine Sicherheit bekannt ist und häufig für Firewalls und kritische Infrastruktur eingesetzt wird. Mythos Preview fand eine 27 Jahre alte Schwachstelle, die es einem Angreifer ermöglichte, jede Maschine mit diesem Betriebssystem durch eine einfache Netzwerkverbindung zum Absturz zu bringen – ohne weitere Interaktion.
Das zweite Beispiel betrifft FFmpeg, eine Bibliothek zur Video-Kodierung, die von unzähligen Anwendungen genutzt wird. Mythos fand eine 16 Jahre alte Schwachstelle in einer einzelnen Codezeile – einer Zeile, die automatisierte Tests bereits fünf Millionen Mal ausgeführt hatten, ohne das Problem zu erkennen.
Das dritte Beispiel zeigt die Fähigkeit zur Exploit-Verkettung: Mythos entwickelte autonom einen Browser-Exploit, der vier Schwachstellen miteinander verknüpfte, einen komplexen JIT Heap Spray ausführte und sowohl den Renderer- als auch den OS-Sandbox umging. Solche mehrstufigen Exploit-Chains gelten als Kennzeichen hochentwickelter Angreifer – bisher war ihre Entwicklung auf eine kleine Gruppe hochspezialisierter Sicherheitsexperten beschränkt.
Der Benchmark-Vergleich: Ein qualitativer Sprung
Die quantitativen Daten aus dem Red Team Report sind eindrücklich. Beim Firefox-Exploit-Benchmark entwickelte Opus 4.6 – das bisher leistungsstärkste Anthropic-Modell – in mehreren hundert Versuchen lediglich zwei erfolgreiche Exploits. Mythos Preview erzielte in denselben Tests 181 erfolgreiche Exploits und erreichte in weiteren 29 Versuchen Register Control.
| Modell | Firefox-Exploits | OSS-Fuzz Tier 5 (Control Flow Hijack) |
|---|---|---|
| Sonnet 4.6 | ~0 | 0 |
| Opus 4.6 | 2 | 0 |
| Mythos Preview | 181 | 10 |
Beim OSS-Fuzz-Benchmark, der rund 7.000 Entry Points in Open-Source-Repositories testet, erreichten Sonnet und Opus 4.6 jeweils einen einzigen Tier-3-Crash. Mythos Preview erzielte 595 Crashes auf Tier 1 und 2, mehrere auf Tier 3 und 4 – und zehn vollständige Control Flow Hijacks auf Tier 5, dem höchsten Schweregrad.
Ein besonders beunruhigender Befund: Anthropic-Ingenieure ohne formale Sicherheitsausbildung konnten Mythos Preview abends beauftragen, Remote Code Execution-Schwachstellen zu suchen – und am nächsten Morgen mit einem vollständigen, funktionierenden Exploit aufwachen. Die Einstiegshürde für hochentwickelte Cyberangriffe sinkt damit drastisch.
Project Glasswing: Der Versuch einer kontrollierten Verteidigung
Parallel zur Ankündigung von Mythos Preview lancierte Anthropic Project Glasswing – ein Konsortium, das die Fähigkeiten des Modells für defensive Zwecke nutzen soll. Die Mitglieder umfassen Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, die Linux Foundation, Microsoft, NVIDIA und Palo Alto Networks. Anthropic verpflichtet sich zu bis zu 100 Millionen US-Dollar in Usage Credits sowie 4 Millionen US-Dollar in Direktspenden an Open-Source-Sicherheitsorganisationen.
Die Logik hinter Project Glasswing ist defensiver Natur: Mythos Preview hat bereits Tausende kritischer Schwachstellen in jedem grossen Betriebssystem und jedem grossen Browser gefunden. Über 99 Prozent davon sind noch nicht gepatcht. Indem Anthropic das Modell zunächst nur an Defender-Organisationen vergibt, sollen diese einen zeitlichen Vorsprung erhalten, bevor ähnliche Fähigkeiten in anderen Modellen – möglicherweise ohne vergleichbare Sicherheitsmassnahmen – verfügbar werden.
Jen Easterly, langjährige Cybersicherheitsexpertin und ehemalige Direktorin der US-amerikanischen CISA, beschrieb die Bedeutung des Moments so:
"For decades, we have built an enormous global industry to defend, detect, and respond to 'vulnerabilities'—flaws and defects in software—that should never have existed in the first place. Project Glasswing could usher in a future in which AI helps us move beyond endlessly defending against flawed software and toward building technology that is more secure from the start. Not the end of cybersecurity as a mission, but the beginning of the end of cybersecurity as we know it."
Die Gefahren: Was Experten wirklich besorgt
Die Risiken, die mit Mythos Preview verbunden sind, lassen sich in drei Kategorien unterteilen: unmittelbare technische Risiken, strukturelle Risiken für die Cybersicherheitslandschaft und Governance-Risiken.
Unmittelbare technische Risiken
Die unmittelbarste Gefahr ist die Demokratisierung hochentwickelter Angriffsfähigkeiten. Bisher erforderte die Entwicklung von Exploit-Chains das Wissen einer kleinen Elite von Sicherheitsforschern. Mit einem Modell wie Mythos Preview kann jeder, der Zugang erhält, innerhalb von Stunden funktionsfähige Exploits für kritische Systeme entwickeln. Niels Provos, langjähriger Sicherheitsingenieur, fasste es so zusammen: "I don't think it intrinsically changes the problem space, but it changes the required skill level to find these vulnerabilities and exploit them."
Besonders besorgniserregend ist die Fähigkeit zur autonomen Exploit-Chain-Entwicklung. Viele der gefährlichsten Angriffe der letzten Jahre – darunter staatlich gesponserte Operationen – nutzten genau diese Technik. Wenn ein Modell solche Chains autonom entwickeln kann, verschiebt sich das Kräfteverhältnis zwischen Angreifern und Verteidigern erheblich.
Strukturelle Risiken: Der Übergangsmoment
Anthropic selbst räumt ein, dass der Übergang zu einer Welt mit weitverbreiteten KI-Exploit-Fähigkeiten turbulent sein könnte. Die Analogie zu Software-Fuzzern ist aufschlussreich: Als die ersten Fuzzer in grossem Massstab eingesetzt wurden, gab es Bedenken, dass sie Angreifern helfen könnten, Schwachstellen schneller zu finden. Das taten sie – aber moderne Fuzzer sind heute ein kritischer Bestandteil des Sicherheitsökosystems. Anthropic erwartet, dass dasselbe für KI-Modelle gelten wird. Die Frage ist, wie lang und wie schmerzhaft der Übergangsmoment sein wird.
Alex Zenla, CTO von Edera, bringt es auf den Punkt: "If you get a million vulnerability researchers, they can find a huge number of bugs. But humans are not very good at holding lots of contextual information in their heads. Mythos is." Das Modell kann Kontextinformationen über riesige Codebasen hinweg kohärent halten – eine Fähigkeit, die menschliche Sicherheitsforscher nicht besitzen.
Governance-Risiken: Das Regulierungsvakuum
Gary Marcus, KI-Forscher und langjähriger Kritiker unkontrollierter KI-Entwicklung, formuliert das zentrale Governance-Problem klar: "Whether or not Mythos is AGI per se is a red herring. AI doesn't need to be AGI to cause harm." Selbst wenn Mythos Preview überschätzt wird, zeigt sein Erscheinen ein strukturelles Problem: Es gibt keine internationale Regulierungsbehörde, die entscheidet, welche Modelle veröffentlicht werden dürfen und welche nicht. Diese Entscheidung liegt bei einzelnen Unternehmens-CEOs – mit sehr unterschiedlichen Wertvorstellungen.
Anthropic hat US-Regierungsanfragen abgelehnt, die KI-Sicherheitsmassnahmen hätten schwächen können. Das ist lobenswert. Aber andere Unternehmen – OpenAI, xAI, chinesische Labs – könnten ähnliche Fähigkeiten entwickeln und anders entscheiden. Marcus' Forderung nach einem internationalen KI-Vertrag, die er bereits 2023 in einem TED-Talk und einem Essay im Economist formulierte, gewinnt durch Mythos neue Dringlichkeit.
Die skeptische Perspektive: Ist es wirklich so schlimm?
Eine faire Darstellung erfordert, die skeptischen Stimmen ernst zu nehmen. Dr. Heidy Khlaaf, Expertin für sicherheitskritische Systeme, weist auf methodische Schwächen in Anthropics Kommunikation hin: Es fehlen Vergleichs-Benchmarks mit bestehenden Sicherheitstools, und die Bedingungen, unter denen die Schwachstellen gefunden wurden, sind nicht vollständig transparent. Wie viel menschliche Steuerung war tatsächlich involviert? Welche Hinweise erhielt das Modell?
Ein anonymer Cybersicherheitsexperte, zitiert von Gary Marcus, formulierte es so: "It smells overhyped to me. Oh, we have this powerful model, but you can't evaluate it yourself. I don't doubt some of the results, but what's made of it and the conditions under which the vulnerabilities were found, and what role humans played, isn't clear."
Davi Ottenheimer, Sicherheits- und Compliance-Berater, ist noch direkter: "It's every spaghetti Western ever where big-tent preachers say the end is nigh and then skip town with everyone's money. It's a shift, like learning how to fight with machine guns when others are still using bolt-action rifles, but it's not magical and mystical."
Diese Skepsis ist berechtigt. Anthropic profitiert finanziell davon, sein Modell als aussergewöhnlich mächtig und exklusiv zu positionieren. Das Unternehmen hat 2026 seinen Jahresumsatz auf über 30 Milliarden US-Dollar verdreifacht. Die Ankündigung von Mythos Preview fiel mit dieser Umsatzmeldung zusammen – ein Timing, das zumindest nachdenklich stimmt.
Bedeutung für Schweizer Unternehmen
Für Schweizer Unternehmen – insbesondere solche unter revDSG- oder FINMA-Regulierung – hat die Ankündigung von Mythos Preview konkrete Implikationen, unabhängig davon, ob man die Bedrohung für übertrieben hält oder nicht.
Das US-Finanzministerium und die Federal Reserve haben Bankenchefs explizit auf die Risiken hingewiesen. Schweizer Finanzinstitute, die mit US-Gegenparteien zusammenarbeiten oder US-Regulierung unterliegen, sollten diese Warnung ernst nehmen. Der Nachrichtendienst des Bundes (NDB) hat in seinen letzten Lageberichten wiederholt auf die wachsende Bedrohung durch KI-gestützte Cyberangriffe – insbesondere durch staatlich gesponserte Akteure aus China, Russland, Iran und Nordkorea – hingewiesen.
Die wichtigste Massnahme ist die Beschleunigung von Patch-Zyklen. Mythos Preview hat gezeigt, dass Schwachstellen, die jahrzehntelang unentdeckt blieben, durch KI-Modelle schnell gefunden werden können. Unternehmen, die Patch-Zyklen von Wochen oder Monaten haben, sind besonders exponiert. Das Nationale Zentrum für Cybersicherheit (NCSC) empfiehlt, kritische Patches innerhalb von 24 bis 72 Stunden einzuspielen.
Darüber hinaus sollten Unternehmen ihre Angriffsfläche systematisch reduzieren. Jede nicht notwendige Netzwerkverbindung, jeder nicht gepatchte Service, jede veraltete Bibliothek ist ein potenzieller Einstiegspunkt. Die von Mythos gefundenen Schwachstellen in FFmpeg und OpenBSD zeigen, dass auch weit verbreitete, gut gepflegte Open-Source-Software betroffen sein kann.
Schliesslich sollten Schweizer Unternehmen die Entwicklung von Project Glasswing und ähnlichen Initiativen verfolgen. Wenn die Fähigkeiten von Mythos Preview tatsächlich so weitreichend sind wie beschrieben, werden ähnliche Modelle in den nächsten Monaten auch bei anderen Anbietern verfügbar sein – möglicherweise ohne vergleichbare Zugangsbeschränkungen.
Fazit: Zwischen Wendepunkt und Warnung
Claude Mythos Preview ist kein AGI. Es ist ein Modell mit aussergewöhnlichen Fähigkeiten in einem spezifischen Bereich – Cybersecurity – die als Nebeneffekt allgemeiner Verbesserungen entstanden sind. Die technischen Belege aus dem Red Team Report sind real und beeindruckend. Die Frage ist, ob sie den Schluss rechtfertigen, dass eine neue Ära der Cybersicherheit begonnen hat.
Die ehrlichste Antwort lautet: wahrscheinlich ja, aber langsamer als die alarmierendsten Stimmen suggerieren. Mythos Preview ist ein Datenpunkt in einem längeren Trend – nicht ein singuläres Ereignis. Ähnliche Fähigkeiten werden in den nächsten Monaten in anderen Modellen erscheinen. Die entscheidende Frage ist nicht, ob diese Fähigkeiten existieren, sondern wer Zugang zu ihnen hat und unter welchen Bedingungen.
Project Glasswing ist ein sinnvoller erster Schritt. Aber wie Anthropic selbst einräumt: "No one organization can solve these cybersecurity problems alone." Was fehlt, ist ein internationaler Rahmen – eine Vereinbarung zwischen KI-Laboren, Regierungen und Regulierungsbehörden darüber, welche Fähigkeiten wie veröffentlicht werden dürfen. Ohne einen solchen Rahmen hängt die Sicherheit des globalen Cyberraums von den Entscheidungen einzelner Unternehmens-CEOs ab.
Für Schweizer Unternehmen gilt: Die Bedrohung ist real, auch wenn ihre genaue Ausprägung noch unklar ist. Patch-Zyklen beschleunigen, Angriffsflächen reduzieren, und die Entwicklung verfolgen – das sind die drei wichtigsten Massnahmen jetzt.
Quellen
- Anthropic. (2026, April). Project Glasswing: Securing critical software for the AI era. https://www.anthropic.com/glasswing
- Carlini, N. et al. (2026, April). Claude Mythos Preview – Frontier Red Team Blog. https://red.anthropic.com/2026/mythos-preview/
- Fortune. (2026, März). Exclusive: Anthropic 'Mythos' AI model representing 'step change' in power revealed in data leak. https://fortune.com/2026/03/26/anthropic-says-testing-mythos-powerful-new-ai-model-after-data-leak-reveals-its-existence-step-change-in-capabilities/
- Wired. (2026, April). Anthropic's Mythos Will Force a Cybersecurity Reckoning—Just Not the One You Think. https://www.wired.com/story/anthropics-mythos-will-force-a-cybersecurity-reckoning-just-not-the-one-you-think/
- Marcus, G. (2026, April). What should we take from Anthropic's (possibly) terrifying new report on Mythos? https://garymarcus.substack.com/p/what-should-we-take-from-anthropics