Wenn der amerikanische Finanzminister und der Chef der amerikanischen Notenbank führende Vertreter der Wall Street kurzfristig nach Washington bestellen, dann ist die Lage üblicherweise ernst. Auslöser eines solchen Treffens am Dienstag, so berichtet es die Finanzagentur Bloomberg, war eine neue Künstliche Intelligenz (KI) des Unternehmens Anthropic, das als schärfster Wettbewerber des ChatGPT-Entwicklers Open AI gilt. Die Banken sollen aufgefordert worden sein, ihre IT-Systeme zu wappnen.
Denn sein neues KI-Modell Claude Mythos hält Anthropic selbst für so mächtig und gefährlich, dass es die Software nicht allgemein zugänglich machen möchte. Konkret geht es um die Sorge, dass Hacker Claude Mythos nutzen könnten, um ohne großen Aufwand unzählige bisher unbekannte Sicherheitslücken in IT-Systemen aufzuspüren und auszunutzen.
Anthropic hatte am Dienstag mitgeteilt, man habe mit Mythos schon Tausende schwerwiegende Schwachstellen gefunden, darunter in jedem beliebten Betriebssystem und Webbrowser. Es geht um sogenannte „Zero Day“-Schwachstellen. Diese sind dem Software-Anbieter unbekannt, weshalb er seine Nutzer nicht vor ihnen schützen kann. Unter anderem habe Mythos eine 27 Jahre alte Schwachstelle in OpenBSD gefunden, das als eines der sichersten Betriebssysteme aller Zeiten gilt. Mehrere Jahrzehnte haben weder IT-Sicherheitsfachleute noch Hacker besagte Lücke aufgespürt – Claude Mythos hat es geschafft.
Eine Tech-Koalition soll die Technik testen
Anthropic warnt eindringlich davor, dass derartige Technik angesichts der rasanten KI-Fortschritte bald auch Hackern zur Verfügung stehen könnte. Der KI-Anbieter stellt seine Software deshalb erst mal nur einer ausgewählten Koalition aus Technologieunternehmen zur Verfügung, die sich jetzt unter dem Namen „Project Glasswing“ zusammengeschlossen haben. Mitglieder sind neben Anthropic unter anderem Amazon, Apple, Microsoft, Google, Nvidia, Cisco oder auch die Linux-Stiftung. Sie sollen Claude Mythos in einem ersten Schritt testen und nutzen, um bestehende Sicherheitslücken zu entdecken und zu schließen. Das soll aber nur der Beginn langfristiger Pläne sein, in dem Konsortium die Auswirkungen von KI auf die IT-Sicherheit zu untersuchen und zu analysieren, wie Unternehmen sich dagegen schützen können.
Anthropic hat darüber hinaus nach eigenen Angaben frühzeitig die amerikanische Regierung über die defensiven und offensiven Fähigkeiten von Claude Mythos informiert. Anthropics Chef-Wissenschaftler Jared Kaplan sagte in einem Interview, das Ziel sei es, Bewusstsein für die Gefahren durch KI zu schaffen und „guten Akteuren“ einen Vorsprung zu geben, um ihre Infrastruktur und ihren Code zu schützen.
In der IT-Welt schlagen die Entwicklungen hohe Wellen. „Claude war schon immer extrem gut – im Coding generell und auch im Pentesting“, sagt der Cybersicherheitsfachmann Mirko Ross vom Unternehmen Asvin der F.A.Z. „In der Version Mythos könnte die Wirkung verheerend sein.“ Als Pentesting bezeichnet man sogenannte Penetrationstests, bei der entweder „gute“ Hacker oder automatisierte Software die IT-Systeme von Organisationen auf Schwachstellen überprüften.„Werkzeuge wie Anthropics Mythos markieren einen echten Wendepunkt darin, wie Schwachstellen entdeckt werden“, sagt Mark Kuhr, Technikchef des Pentesting-Anbieters Synack. Was bislang Wochen oder Monate an Arbeit erfahrener Sicherheitsexperten erforderte, könne nun in wenigen Tagen und in deutlich größerem Maßstab analysiert werden.
BSI spricht von Fragen nationaler und europäischer Sicherheit
Auch die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, sieht potentiell erhebliche Auswirkungen auf die Cyberbedrohungslage. „Wir stehen zu Claude Mythos mit dem Hersteller Anthropic im Austausch“, teilte Plattner der Nachrichtenagentur dpa mit. Ihre Behörde habe das neue Modell zwar bisher nicht testen können, aber im persönlichen Gespräch mit den Entwicklern einen Einblick in die Funktionsweise erhalten.
Die Ankündigungen von Anthropic nehme das BSI sehr ernst. Die Behörde erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt“. Mittelfristig gebe es womöglich keine unbekannten klassischen Software-Schwachstellen mehr. „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben“, sagte Plattner – und betonte, dass sich daraus auch Fragen nationaler und europäischer Sicherheit und Souveränität ergäben.
Unternehmen und Behörden seien nun mitten im „Hase-und-Igel-Rennen“, sagt Mirko Ross von Asvin. „Uns bleibt nichts anderes übrig, als genauso schnell zu werden beim Schließen von Schwachstellen, wie KI sie findet – und zwar mithilfe von KI.“ Lange Prozesse mit Pentests nur alle sechs Monate könne man sich nicht mehr leisten.
„Es geht künftig nicht mehr darum, jeden Eindringversuch zu stoppen“
„Im letzten Jahrzehnt konzentrierte sich die Sicherheitsstrategie auf Erkennung und Reaktion: Bedrohung finden, untersuchen, eindämmen und wiederherstellen“, sagt Kay Ernst vom IT-Sicherheitsunternehmen Zero Networks. Dieses Modell habe funktioniert, solange Angriffe in menschlicher Geschwindigkeit erfolgten. KI verändere diese Gleichung. Wenn Angriffe autonom generiert und ausgeführt werden könnten, gebe es keine Garantie für ein Frühwarnsignal, kein verlässliches Zeitfenster für die Untersuchung und keinen Grund anzunehmen, dass Erkennungssysteme – trainiert auf Basis vergangener Angriffe – etwas völlig Neues erkennen würden. „Es geht künftig nicht mehr darum, jeden Eindringversuch zu stoppen oder jede Bedrohung abzufangen, sondern darum, was nach dem Eindringen geschieht“, sagt Ernst. Es gehe darum, die Bewegungsfreiheit der Angreifer in den Systemen einzuschränken, sodass kein kritisches System erreicht und der Angriff eingedämmt werden könne.
Anthropic hat in den vergangenen Jahren versucht, sich als auf Sicherheit bedachte Alternative zum ChatGPT-Entwickler Open AI zu positionieren. Zuletzt geriet das Unternehmen in die Schlagzeilen, weil es in Verhandlungen mit dem US-Verteidigungsministerium darauf bestand, dass seine KI nicht zur Massenüberwachung von Amerikanern oder zur Entwicklung vollständig autonomer Waffensysteme eingesetzt werden dürfe. Verteidigungsminister Pete Hegseth setzte das Unternehmen daraufhin auf eine schwarze Liste und erklärte es zum Risiko für die nationale Sicherheit. Diese Maßnahme wurde später gerichtlich gestoppt.
Anthropic ist nicht das erste Unternehmen, das ein KI-Modell aus Sicherheitsgründen zurückhält. Ausgerechnet der Rivale Open AI veröffentlichte im Jahr 2019 nicht die volle Version seines KI-Modells GPT-2, des Vorgängers des Modells, auf dem 2022 ChatGPT basierte. Das Unternehmen argumentierte damals, die Fähigkeiten zur Texterstellung könnten genutzt werden, um automatisiert Propaganda oder Falschinformationen zu erstellen. Nach weiteren Sicherheitstests veröffentlichte Open AI das Modell dennoch – der Rest ist Geschichte.