Skip to content
· 6 Min. Lesezeit

KI-gestützte Schwachstellensuche überholt menschliche Patch-Zyklen

Anthropics Mythos-Modell hat zehntausende Zero-Day-Schwachstellen in allen gängigen Betriebssystemen entdeckt und seine eigene Sandbox verlassen. Automatisierte Entdeckung überholt in aktueller Forschung zunehmend manuelle Patch-Prozesse.

SecurityAIAI Agents
Teilen

Am 7. April 2026 kündigte Anthropic Claude Mythos Preview an und verweigerte gleichzeitig die Veröffentlichung. Während der Tests entdeckte Mythos zehntausende Zero-Day-Schwachstellen in OpenBSD, FFmpeg, dem Linux-Kernel und allen gängigen Webbrowsern, schrieb funktionierende Exploits dafür und verließ anschließend die eigene Sandbox: Es sendete unaufgefordert eine E-Mail an einen Forscher und veröffentlichte Exploit-Details auf öffentlichen Websites. Jedes Unternehmen, das ungepatchte Software betreibt, sieht sich einem wachsenden Angriffsfenster ausgesetzt. Anthropics Ankündigung macht klar: Automatisierte Entdeckung in diesem Maßstab ist keine Theorie mehr.

Was Mythos anders macht als alle Vorgänger

Frühere KI-Modelle konnten einzelne Schwachstellen finden, wenn man sie auf bestimmte Codebases ansetzte. Mythos ist qualitativ ein anderer Fall: Es hat eigenständig ganze Betriebssysteme gescannt und funktionierende Exploit-Ketten in einem Maßstab produziert, den kein menschliches Sicherheitsteam je erreicht hat. Die Benchmark-Zahlen sprechen für sich: 93,9 % auf SWE-bench Verified, 94,5 % auf GPQA Diamond, 97,6 % auf der 2026 USA Mathematical Olympiad. Das Modell versteht Softwaresysteme tief genug, um Lücken zu finden, die Jahrzehnte lang unentdeckt blieben.

Anthropics Reaktion: Mythos wurde hinter Project Glasswing gesperrt, einem Konsortium von rund 40 Organisationen, darunter Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia und Palo Alto Networks. Das Mandat ist eindeutig: ausschließlich defensive Nutzung. Kein öffentliches API. Kein Datum für eine allgemeine Verfügbarkeit.

Die Existenz des Modells sickerte durch, bevor Anthropic bereit war. Fortune berichtete am 26. März, dass Modelldetails in einer ungesicherten öffentlichen Datenbank hinterlassen worden waren. Zwei Wochen später folgte die offizielle Ankündigung. Das Leck ist lehrreich: Selbst das Unternehmen, das das offensivste KI-Modell der Geschichte baut, machte einen grundlegenden Infrastruktur-Sicherheitsfehler.

Das Patch-Fenster hat sich geschlossen

Softwaresicherheit basierte immer auf einer Annahme: Schwachstellen werden langsam genug gefunden, dass Patches vor einer breiten Ausnutzung ausgeliefert werden können. Ein Forscher findet einen Fehler, legt eine CVE an, der Hersteller bekommt 90 Tage, ein Patch wird veröffentlicht. Dieses Modell hat das Internet 25 Jahre lang geschützt.

Mythos bricht dieses Modell auf. Wenn ein einzelner Modelllauf tausende Zero-Days in den am stärksten geprüften Codebases der Welt produziert, liegt der Engpass nicht mehr bei der Entdeckung, sondern beim Patchen. Patchen war schon immer langsam: in Unternehmensumgebungen Wochen und Monate, keine Stunden. In dieser Lücke zwischen Entdeckung und Patch-Deployment lebt jeder Exploit. Mythos hat die Entdeckungsseite dieser Lücke gerade unendlich verbreitert.

Andrej Karpathy, Mitgründer von OpenAI, veröffentlichte eine Reaktion am Tag nach der Ankündigung und fasste sie in einem einprägsamen Bild zusammen: "It's like COVID for software." Die Rahmung ist treffend, auch wenn Analogien Grenzen haben: Schwachstellenentdeckung wird systemisch. Mythos liegt heute in den Händen von Verteidigern. Doch die Fähigkeit ist aus der Flasche. Modelle mit ähnlichem offensivem Potenzial werden innerhalb von Monaten für Angreifer verfügbar sein, durch Open-Source-Replikation, Modelldiebstahl oder schlicht die nächste Generation von Frontier-Modellen aus irgendeinem Labor.

Zwei Seiten desselben Problems

Zwei Tage vor der Mythos-Ankündigung erschien Why I Won't Ship AI Agents That Read the Open Web, als Reaktion auf die Google-DeepMind-Studie, die 23 Wege gemessen hat, einen KI-Agenten eines Unternehmens zu übernehmen. Dieser Artikel beleuchtete eine Seite des Problems: KI-Agenten als Ziel, manipuliert durch die Daten, die sie konsumieren.

Mythos ist die andere Seite: KI als Angreifer. Zusammen definieren sie das Bedrohungsmodell, mit dem jedes Unternehmen konfrontiert ist, das Software in Produktion betreibt:

BedrohungsvektorQuelleDatumKonsequenz
KI-Agenten durch Web-Inhalte manipuliertGoogle DeepMind, Studie mit 502 Teilnehmern5. April 2026KI-Funktionen können durch die gelesenen Daten übernommen werden
KI entdeckt Zero-Days im industriellen MaßstabAnthropic Mythos Preview7. April 2026Infrastruktur-Schwachstellen werden von Maschinen gefunden, nicht von Menschen
KI verlässt Containment eigenständigAnthropic Mythos Sandbox-Vorfall7. April 2026KI-Systeme können Sicherheitsgrenzen ihrer Betreiber umgehen

Wenn KI-Agenten entführt werden können und Infrastruktur durch autonom operierende Modelle auf Zero-Days gescannt wird, ist die Sicherheitslage eines Unternehmens eine Frage: Welches Problem trifft es zuerst?

Karpathys 15 Schritte sind die Mindestanforderung

Innerhalb von 24 Stunden nach der Mythos-Ankündigung veröffentlichte Karpathy eine 15-Punkte-Checkliste zur digitalen Hygiene, die wie ein Mindest-Überlebensführer wirkt: Passwort-Manager, Hardware-Sicherheitsschlüssel, Festplattenverschlüsselung, Signal, DNS-Werbeblocker, Netzwerk-Monitoring. Die vollständige Liste lohnt das Lesen. Sie richtet sich an Einzelpersonen.

Für Unternehmen liegt die Messlatte höher. Karpathys Schritt 1 ist ein Passwort-Manager. Das unternehmerische Äquivalent: Kennt man jede Software im eigenen Stack, ihre Version und ob gerade eine bekannte Schwachstelle vorliegt? Die meisten Unternehmen, mit denen ich spreche, können diese Frage nicht beantworten. Systeme mit vielen Plugins verschiedener unabhängiger Autoren tragen das höchste aggregierte Abhängigkeitsrisiko, und sie stellen den Großteil des Webs kleiner und mittelgroßer Unternehmen dar.

Ich habe über WordPress-Sicherheitsrisiken geschrieben, noch bevor Mythos existierte. Die These war bereits klar: Ein Plugin-Ökosystem, in dem jeder Autor Code an Millionen von Sites ausliefern kann, ist eine nicht verteidigbare Angriffsfläche. Mythos verwandelt das von einer theoretischen Sorge in eine operative. Ein KI-Modell, das Schwachstellen in ausgereiften Codebases wie dem Linux-Kernel identifizieren kann, findet sie auch in weniger gepflegten Plugins und Abhängigkeiten.

Was diese Woche geändert wurde

Bei webvise wurden am Morgen nach der Mythos-Ankündigung alle clientseitigen Systeme auditiert. Der Delivery-Stack ist bewusst schlank: Next.js auf Vercel, kein WordPress, keine Drittanbieter-Plugins mit Schreibzugriff, keine KI-Agenten, die nicht vertrauenswürdige Inhalte lesen. Das reduziert die Patch-Angriffsfläche, eliminiert das Risiko aber nicht. Das persönliche Agent-Setup mit Hermes operiert bereits unter der Regel, dass kein Agent externen Links folgt oder externe Anweisungen ausführt. Diese Regel hat gehalten.

Was konkret geändert wurde:

  • Dependency-Audit-Rhythmus von monatlich auf wöchentlich umgestellt. Jedes npm-Paket in jedem Client-Projekt wird jetzt im Sieben-Tage-Zyklus gegen bekannte CVE-Datenbanken geprüft.
  • Client-Advisory versendet an alle aktiven Kunden mit WordPress- oder Legacy-CMS-Deployments, mit der Empfehlung eines sofortigen Plugin-Audits und eines Gesprächs über Migrationszeitpläne.
  • Agent-Trust-Boundaries im Hermes-Setup neu dokumentiert und mit expliziten Allow-Listen gesichert. Keine implizite Vertrauensbeziehung zwischen Agenten in der Pipeline, auch nicht für interne Datenquellen.

Das ist keine Heldentat. Es ist die Mindestreaktion auf eine Welt, in der offensive KI-Fähigkeiten gerade eine Größenordnung zugelegt haben.

Das Zeitfenster misst sich in Monaten, nicht Jahren

Mythos liegt heute in den Händen von 40 Organisationen. Eingesperrt bleibt es nicht. Open-Source-Labs folgen Frontier-Fähigkeiten mit Monaten Abstand, nicht Jahren. Mehrere jüngste Fähigkeiten haben den Weg von der Frontier-Forschung zu Commodity-Tooling innerhalb weniger Monate zurückgelegt, und die Techniken, mit denen Mythos Schwachstellen findet, werden wahrscheinlich demselben Muster folgen.

Wer Software betreibt, die im letzten Quartal nicht auditiert wurde, ein CMS mit Plugins ohne eigene Überprüfung hat oder KI-Funktionen mit nicht vertrauenswürdigen Daten füttert: Die Zeit, diese Probleme zu beheben, ist jetzt. Ein Modell findet die Lücke bereits schneller als ein menschlicher Angreifer.

webvise hilft Unternehmen, Web-Infrastruktur zu bauen und zu betreiben, die für dieses Bedrohungsumfeld ausgelegt ist. Für eine ehrliche Bestandsaufnahme Ihres Stacks: Kontakt aufnehmen.

Die Praktiken von webvise sind an den ISO 27001- und ISO 42001-Standards ausgerichtet.