Cybersicherheit: Wie bedrohlich ist dasjenige neue KI-Modell Mythos wirklich?

Anthropic kündigt sein neuestes KI-Modell Mythos an – und hält es gleichzeitig unter Verschluss. Die Begründung: Mythos finde rasend schnell neue kritische Schwachstellen und könne sie autonom in Angriffe verwandeln. Deshalb bleibe das Modell im Rahmen des extra dafür eingerichteten „Project Glasswing“ einer Gruppe von ungefähr 50 ausgewählten Organisationen vorbehalten, darunter Amazon, Apple, Google, JP Morgan Chase, Microsoft, Nvidia und die Linux Foundation. Das macht neugierig. Und es wirft die Frage auf, ob die Zurückhaltung sinnvoll ist oder ob es sich um ein Marketingmanöver handelt.

Schon im Jahr 2019 hielt Open AI sein Sprachmodell GPT-2 zunächst unter Verschluss, ebenfalls unter Verweis auf die Missbrauchsgefahr. Wenige Monate später wurde es dann doch freigegeben mit dem Hinweis, die befürchteten negativen Auswirkungen seien ausgeblieben. Was steckt diesmal dahinter?

Die ersten Reaktionen auf Mythos waren überschwänglich, auch die des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Präsidentin des BSI, Claudia Plattner, erwartet einen „Paradigmenwechsel bei den Cyberbedrohungen“. Konsequent zu Ende gedacht, so Plattner weiter, könnte es mittelfristig keine unbekannten klassischen Softwareschwachstellen mehr geben. Die Einschätzung stützte sich allerdings nicht auf eigene Tests, sondern lediglich auf Gespräche mit Anthropic.

Die in Großbritannien für Cybersicherheit Verantwortlichen gingen anders vor. Das AI Security Institute (AISI), ein Forschungsinstitut des britischen Technologie- und Digitalministeriums, prüfte Mythos selbst. Das AISI bestätigte eine deutliche, aber keine fundamentale Verbesserung in der Automatisierung von Angriffen. Parallel veröffentlichte die britische Regierung einen offenen Brief an die Wirtschaft, der sich auf konkrete Maßnahmen zur Cyberhygiene und die Verantwortung der Unternehmensführung beschränkt. Vom Ende unbekannter Softwareschwachstellen ist dort keine Rede.

Mythos ist schneller und besser als seine Vorgänger. Aber nicht, weil die KI fundamental neu wäre. Die vorsichtige britische Haltung trifft die Realität recht gut. Die Dokumentation zu Mythos von Anthropic zeigt, dass hinter Mythos keine grundlegenden neuen KI-Verfahren stehen, sondern ein stärkerer Trainingsfokus auf Coding, Reasoning und autonomem Verhalten liegt.

Mythos ist auf die Entdeckung von Programmierfehlern in Software trainiert, also für die systematische Prüfung des Codes großer Softwareprojekte. Das Modell sucht nach Mustern von Schwachstellen, also bestimmten Arten von Programmierfehlern, die Fachleute schon lange kennen: Speicher- und Logikfehler, typische Schwachstellen in Kryptographie und Webanwendungen.

Aus dem Training weiß Mythos, wie diese Muster aussehen, durchforstet damit systematisch Code – und findet so neue Fälle dieser bekannten Fehlerklassen. Es findet mit diesem Ansatz aber keine fundamental neuen Fehlerklassen. Und es gibt auch keine Garantie, welchen Anteil der vorhandenen Fälle bekannter Fehlerklassen es mit einem gegebenen Aufwand findet.

Mythos ist auf Schwachstellen in Code trainiert. Viele Schwachstellen gehen aber nicht auf Programmierfehler zurück, sondern haben ihre Ursache an ganz anderer Stelle, etwa in Fehlern in Standards und Konfigurationen oder in Komponenten, die dynamisch über Lieferketten eingebunden werden. Ein gutes Beispiel stammt aus unserer Forschung: Im Jahr 2024 entdeckten wir eine 25 Jahre alte schwerwiegende Schwachstelle, Keytrap, in DNSSEC, einem der grundlegenden Standards für Internetsicherheit.

Jede standardkonforme Umsetzung von DNSSEC enthielt zwangsläufig diese Schwachstelle, für auf Code ausgerichtete Werkzeuge war sie aber unsichtbar. Die Schwachstelle ermöglichte Angriffe auf den Verzeichnisdienst DNS; nach Schätzungen von Akamai hätte ein Cyberangreifer mit Keytrap ungefähr ein Drittel des Internets lahmlegen können.

KI-Modelle können perspektivisch auf immer mehr Arten von Schwachstellen in immer mehr Bereichen trainiert werden, aber es wird immer Varianten und ganz neue Arten geben, die die KI nicht erkennen kann. Dass irgendein Werkzeug, mit oder ohne KI, alle Fehler in jeder Software findet, ist ohnehin ausgeschlossen, denn das würde grundsätzliche Schranken für die Berechenbarkeit verletzen. Die vom BSI geäußerte Erwartung, es könnte bald keine unbekannten Schwachstellen mehr geben, ist also sehr unrealistisch.

Trotz aller Limitierungen: Mit hinreichend viel Aufwand findet Mythos bislang unbekannte Schwachstellen in Software. Diese sogenannten 0-Days gelten gemeinhin als besonders gefährlich, weil es für sie naturgemäß noch keinen Patch der Hersteller geben kann. Die Anzahl neuer 0-Days wird häufig, beispielsweise im jährlichen Lagebericht des BSI, sogar als Indikator für die IT-Sicherheit insgesamt verwendet.

Der erste Grund ist, dass das Ausnutzen von Schwachstellen in realen Angriffen insgesamt eine eher untergeordnete Rolle spielt. Laut Crowdstrike laufen 82 Prozent der entdeckten Angriffe ohne Schadsoftware ab. Genutzt werden vorrangig gültige Zugangsdaten, die direkten Zugriff auf die IT der Opfer geben, und indirekte Angriffe über Dienstleister, etwa Identitäts- oder Software-as-a-Service-Anbieter.

Angriffe sind fast immer hybrid, sie kombinieren viele Schritte: schwache oder gestohlene Passwörter, fehlerhafte Konfigurationen, Phishing, Insideraktivität, Lieferkettenangriffe. Schwachstellen spielen für die meisten dieser Schritte keine Rolle, und wo sie gebraucht werden, sind sie weitgehend austauschbar.

Viele bekannte Vorfälle der vergangenen Jahre bestätigen das: Operation Aurora gegen Google 2009 benutzte einen 0-Day im Internet Explorer nur als Einstieg; der eigentliche Angriff bestand in gestohlenen Zugängen. Der Angriff auf Lockheed Martin 2011 begann mit einer Phishingmail an den Sicherheitsdienstleister RSA; die dort entwendeten Sicherheitstoken ermöglichten Monate später die Authentifizierung beim eigentlichen Ziel. Und der Solar-Winds-Angriff Ende 2020 beruhte auf der Manipulation eines regulären Softwareupdates, das 18.000 Organisationen installierten – die Schwachstelle lag in der Lieferkette und im Vertrauensmodell, nicht in einzelnen Codezeilen.

Der zweite Grund ist, dass Angreifer, soweit sie überhaupt Schwachstellen nutzen, bekannte Schwachstellen, sogenannte N-Days, gegenüber 0-Days bevorzugen. Das liegt nicht an einem Mangel an 0-Days, sondern an den praktischen Vorteilen von N-Days: Sie sind erprobt, in ihrer Wirkung vorhersagbar, gratis und in frei verfügbare Angriffswerkzeuge integriert. Ein 0-Day-Exploit hingegen entsteht unter Laborbedingungen; ob er in einer realen Umgebung funktioniert, ist ungewiss. Ein Exploit, der statt einer Übernahme einen Absturz verursacht, ist nutzlos und alarmiert die Verteidigung.

All diese Vorteile eines N-Days sind natürlich hinfällig, sobald der Hersteller einen Patch bereitstellt und dieser von den Anwendern auch korrekt eingespielt wurde. Unsere regelmäßig durchgeführten Analysen zur IT-Sicherheit der IT-Infrastrukturen in Deutschland zeigen allerdings, dass es in nahezu allen Organisationen eine große Anzahl ungepatchter N-Days gibt. Das gilt selbst für die von außen sichtbaren IT-Infrastrukturen der 16 Bundesministerien. Kritische Schwachstellen werden dort im Median erst nach 15 Monaten gepatcht, fast jedes dritte digitale Sicherheitszertifikat ist bereits abgelaufen. Die gleichen veralteten Versionen in vielen Ministerien deuten auf ein systemisches Versagen im Patchmanagement über die gesamte Bundesverwaltung hin.

Die Bedeutung von Mythos als Angreiferwerkzeug zum Finden von 0-Days wird in Deutschland also nicht dadurch klein, dass das Modell schwach wäre, sondern dadurch, dass die Ziele meist schon ohne Mythos erschreckend leicht angreifbar sind. Die Entscheidungslogik eines rationalen Angreifers endet bei solchen Zielen auf Stufe eins, lange bevor er über 0-Days nachdenken würde. Die Bedeutung von 0-Days wird erst dann wachsen, wenn unsere IT ein deutlich höheres Sicherheitsniveau erreicht hat.

Die Ironie ist schwer zu übersehen: Die BSI-Präsidentin prognostiziert das Ende unbekannter Softwareschwachstellen. Die Bundesverwaltung, für deren IT-Sicherheit das BSI zentrale Schutz- und Beratungsfunktionen wahrnimmt, schafft es zeitgleich nicht, abgelaufene Zertifikate zu erneuern oder seit vielen Jahren veraltete Software zu ersetzen.

Neben dem Finden von 0-Days betont Anthropic die Fähigkeiten von Mythos beim Planen und Durchführen von Angriffen. Auch KI-gestützte Cyberangriffe sind aber nicht erst mit Mythos Realität. Sie geschehen längst. Schon frühere KI-Modelle konnten Cyberangriffe ohne weitere Anpassung planen und durchführen, nur nicht so gut und autonom wie Mythos.

Wie Anthropic selbst Ende 2025 berichtete, nutzten im September 2025 vermutlich chinesische Hacker Anthropic Claude als nahezu autonom handelndes Angriffswerkzeug gegen rund 30 Unternehmen und Behörden weltweit – in einer kleinen Anzahl von Fällen mit Erfolg. Tatsächlich zeigen diese Angriffe von 2025 eine gefährlichere Verschiebung als die jetzt berichteten Fähigkeiten von Mythos: Sie demonstrierten, dass ein KI-Modell ohne spezielles Training rein mit öffentlichen Werkzeugen und ganz ohne 0-Days 80 bis 90 Prozent einer Kampagne im Stil staatlicher Akteure autonom durchführen kann. Solche fortgeschrittenen Cyberfähigkeiten entstehen also zunehmend aus der KI-basierten Orchestrierung bekannter Werkzeuge, nicht aus technischer KI-Innovation.

Mit Mythos werden solche Angriffe messbar besser, aber nicht unaufhaltsam. Bei der Konstruktion eines Exploits aus einer bekannten Schwachstelle im akademischen Cybergym-Test erreicht Mythos 83 Prozent, deutlich mehr als die Vorgängermodelle, aber weit entfernt von vollständiger Automatisierung. Im simulierten Angriff auf ein Unternehmensnetzwerk aus 32 Schritten schafft Mythos im Schnitt 22 Schritte, das nächstbeste Modell 16, ein klarer Fortschritt.

AISI betont jedoch: Die Testumgebung entspricht einem ungehärteten System. Auf professionell abgesicherte IT-Umgebungen seien die Ergebnisse nicht ohne Weiteres übertragbar. Eine Testumgebung mit industriellen Steuerungssystemen konnte Mythos nicht überwinden. Voll automatisierte Massenangriffe auf nach dem Stand der Technik abgesicherte Organisationen dürften auch mit Mythos noch nicht möglich sein.

Die Angreifer haben allerdings schon jetzt mächtige Werkzeuge, und die technische Schwelle für Angriffe ist schon heute sehr tief. Auf das Handeln der Angreifer selbst haben wir letztlich keinen Einfluss. Ein „Verbot“ von Mythos schafft keine Sicherheit, denn Mythos kann nichts, was versierte Hacker nicht auch so können, und die Modelle anderer Anbieter, auch aus China, werden aufholen.

Wer das Vorgehen von Cyberangreifern nicht versteht und seine eigene IT nicht kennt, kann Mythos nicht einordnen. Für Angreifer verändert Mythos den Aufwand für 0-Day-basierte Angriffe, am Rest ändert es wenig. Rechtfertigt das, Mythos zurückzuhalten?

Aus Sicht der Cybersicherheit ist die Antwort nein. Die Softwarehersteller würden von einem offenen Mythos mehr profitieren als die Angreifer. Für die Hersteller ist ein Werkzeug, das effizient und mit wenigen Fehlalarmen Schwachstellen findet, sehr wertvoll: Fehler können noch vor der Auslieferung beseitigt werden, die Produktsicherheit steigt. Anthropics Haltung verwehrt den meisten Herstellern den Zugriff und ist aus dieser Perspektive schädlich. Sie dient eher dem Image des Herstellers als der Cybersicherheit insgesamt.

Natürlich wären mit einem offenen Mythos auch Angreifer leichter in der Lage, neue 0-Days zu finden und daraus Angriffswerkzeuge zu bauen. Doch wie die Daten zeigen, spielen 0-Days in realen Angriffen eine untergeordnete Rolle, der Zugewinn der Angreifer bliebe begrenzt, während der Zugewinn für die Verteidigung durchaus spürbar wäre.

Der Rivale Open AI hat einen anderen Weg gewählt: Mit „Trusted Access for Cyber“ (TAC) gibt Open AI einem deutlich breiteren und offeneren Kreis von Sicherheitsforschern und Herstellern frühzeitigen Zugang zu neuen Modellen und hat das Programm zuletzt ausgeweitet sowie eine ähnlich wie Mythos eigens auf Cybersicherheit trainierte Variante (GPT-5.4-Cyber) veröffentlicht. Das ist der sinnvollere Ansatz.

Die deutsche Antwort auf Mythos sollte faktenbasiert und pragmatisch sein und auf eine Verbesserung unserer Cybersicherheit abzielen. Was das konkret bedeutet, haben wir in der F.A.Z. schon vor einigen Wochen ausgeführt; es lässt sich auf drei Stichworte verdichten:

Erstens: Lagebilder zu unserer eigenen IT. Ein belastbares, aktuelles Bild der eigenen IT-Landschaft und ihrer Schwächen ist die Grundlage jeder Verteidigung. Nur wer weiß, was er hat und wo er verwundbar ist, kann priorisieren.

Zweitens: Professionalisierung unseres IT- und IT-Sicherheitsmanagements. Modernisierte Infrastrukturen ohne vergessene Legacy. Effizientes und umfassendes Patchmanagement, geschultes Personal, klare Verantwortlichkeiten. Der Engpass liegt nicht beim Finden von Schwachstellen, sondern beim Schließen der bekannten.

Drittens: Lagebilder der Angreifer. Ein Frühwarnsystem auf Basis systematischer Beobachtung von Angreiferinfrastrukturen, Taktiken und Kampagnen, damit Bedrohungen nicht erst dann sichtbar werden, wenn der Schaden bereits eingetreten ist.

An dieser Aufgabenliste ändert KI, Mythos eingeschlossen, nichts. Aber es macht sie dringlicher. Die Leistungsfähigkeit vergleichbarer KI-Modelle verdoppelt sich laut AISI ungefähr alle vier Monate. Die eigentliche Währung der Cyberabwehr ist nicht Technik, sondern Zeit – das knappe Fenster zwischen dem ersten Indiz für einen Angriff und einer wirksamen Reaktion. Dieses Fenster schrumpft seit Jahren. Wer sein eigenes Netz nicht kennt, verliert diese Minuten zwangsläufig. Zeit gewinnt nur, wer weiß, was er verteidigt, bevor der Angriff beginnt. Die gute Nachricht ist, dass KI bei der notwendigen automatisierten Datenauswertung im großen Stil helfen kann, vorausgesetzt, man hat eine strukturierte, belastbare Datengrundlage, also solide Lagebilder.

Die britische Regierung hat mit ihrem offenen Brief eine angemessene Antwort gegeben. Das BSI, als deutsches Pendant, sollte ihm darin folgen, weniger Paradigmenwechsel-Rhetorik, mehr konkrete Handlungsempfehlungen. Licht am Ende des Mythos bedeutet: Hinter dem Hype steht eine nüchterne Aufgabe, die Deutschland seit Jahren kennt und seit Jahren schuldig bleibt.

Haya Schulmann ist Professorin für Cybersicherheit an der Goethe-Universität Frankfurt und Mitglied des Direktoriums des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE.

Michael Waidner ist Professor für Sicherheit in der Informationstechnik an der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT und CEO von ATHENE.