KI findet tausende Zero-Day-Lücken: Project Glasswing will das Pentagon der Cybersicherheit werden

Kommentar verfassen / Uncategorized / Von

Der Wendepunkt ist da

Anthropic hat es ausgesprochen, worüber Sicherheitsexperten seit Monaten flüstern: KI-Modelle haben die Fähigkeit erreicht, jede Software zu knacken – außer den besten menschlichen Hackern. Jetzt versucht das Unternehmen, diese Waffe in die Hände von Verteidigern zu legen.

Project Glasswing: Wer mitmacht

Amazon, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks – und Anthropic selbst. Das ist keine unverbindliche Branchenallianz, das ist ein Notruf in Großbuchstaben. Hinzu kommen über 40 weitere Organisationen, die Zugang zu Mythos Preview erhalten.

Was Mythos Preview kann

Claude Mythos Preview ist das neue Frontier-Modell von Anthropic – noch nicht öffentlich verfügbar, aber bereits im Einsatz. Die Fähigkeiten sind beunruhigend:

  • Eine 27 Jahre alte Sicherheitslücke in OpenBSD gefunden – einem Betriebssystem, das als unknackbar gilt und Firewalls weltweit antreibt. Die Lücke erlaubte, jeden Rechner fernzusteuern.
  • Eine 16 Jahre alte Lücke in FFmpeg (Video-Codec) – in einer Codezeile, die fünf Millionen automatisierte Tests nie erwischt haben.
  • Mehrere zusammenhängende Lücken im Linux-Kernel, die von normalem Nutzerzugang zur vollständigen Kontrolle über die Maschine führten.

Mythos Preview hat das alles autonom geschafft – ohne menschliches Steering. In Benchmark-Tests schlägt es Claude Opus 4.6 bei Cybersecurity-Aufgaben deutlich (83,1 % vs. 66,6 %).

Warum das existenziell ist

Die globalen Kosten von Cyberkriminalität werden auf etwa 500 Milliarden Dollar jährlich geschätzt. Bisher erforderte das Finden und Ausnutzen von Zero-Day-Lücken jahrelange Expertise. Jetzt sinkt die Einstiegshürde auf null. Wenn Angreifer diese Tools bekommen – und sie werden – gibt es keine sicherere Software mehr.

„Das Fenster zwischen Entdeckung und Ausnutzung einer Schwachstelle ist zusammengebrochen – was früher Monate dauerte, passiert jetzt in Minuten“, sagt CrowdStrike. Microsoft formuliert es direkter: „If you want to deploy AI, you need security.“

Was Anthropic dafür tut

  • 100 Millionen Dollar an Nutzungsgutschriften für Mythos Preview
  • 4 Millionen Dollar Direktspenden an Open-Source-Sicherheitsorganisationen (Alpha-Omega, OpenSSF, Apache Software Foundation)
  • Partnerseitiger Zugang über Claude API, Amazon Bedrock, Google Vertex AI und Microsoft Foundry
  • Ein 90-Tage-Bericht über Erkenntnisse und behobene Schwachstellen

Im Anschluss wird Mythos Preview nicht kostenlos sein: 25 Dollar pro Million Input-Token, 125 Dollar pro Million Output-Token.

Was das für die Branche bedeutet

Glasswing ist ein ehrgeiziger Versuch, eine Bresche zu schlagen, bevor sie zu einem Einsturz wird. Aber es wirft auch Fragen auf, die bisher niemand offiziell stellt:

  • Was passiert, wenn das Modell in falsche Hände gerät?
  • Wer prüft, ob die „Defensive Only“-Zusage eingehalten wird?
  • Wie lange bleibt ein Modell „Frontier“, wenn die Fähigkeit so schnell skaliert?

Anthropic räumt ein: Eine eigenständige, branchenübergreifende Institution könnte langfristig der bessere Ort für solche Arbeit sein. Bis dahin gilt: Die Uhr läuft.

FAQ

Was ist Project Glasswing?

Eine branchenübergreifende Initiative von Anthropic und zwölf Technologie-Unternehmen, die ein neues KI-Modell (Claude Mythos Preview) für defensive Cybersicherheit einsetzt – also um Schwachstellen zu finden und zu schließen, bevor Angreifer sie ausnutzen.

Was ist Claude Mythos Preview?

Ein noch unveröffentlichtes Frontier-KI-Modell von Anthropic mit außergewöhnlichen Fähigkeiten im Finden und Ausnutzen von Software-Schwachstellen. Es ist derzeit nur für Glasswing-Partner verfügbar.

Wie unterscheidet sich das von bestehenden Sicherheits-Tools?

Bestehende Automated-Testing-Tools haben teils Millionen von Testdurchläufen hinter sich, ohne bestimmte Lücken zu finden. Mythos Preview hat dieselben Probleme in Tagen autonom gefunden – in manchen Fällen nach Jahrzehnten menschlicher Prüfung.

Bin ich als Unternehmen betroffen?

Wenn Sie kritische Software oder Infrastruktur betreiben – ja. Glasswing adressiert genau die Systeme, von denen öffentliche Dienste, Finanzinfrastruktur und Kommunikationsnetze abhängen. Die Frage ist nicht ob, sondern wie schnell Sie Ihre Sicherheitsstrategie anpassen.

Takeaway

Project Glasswing ist kein Marketing-Gag. Die Schwachstellen, die Mythos Preview gefunden hat, waren jahrzehntealte Probleme in Systemen, die Milliarden von Menschen täglich vertrauen. Dasselbe Modell, in falschen Händen, wäre eine Waffe mit globaler Reichweite. Jetzt liegt es an der Branche, den Vorsprung zu nutzen – bevor er verschwindet.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert