Der US-amerikanische KI-Spezialist Anthropic schafft es öfter mal in die Schlagzeilen. Milliardenschwere Finanzierungsrunden, immer leistungsstärkere KI-Tools und die Weigerung, sein KI‑Flaggschiffmodell Claude dem US-Verteidigungsministerium uneingeschränkt für militärische Zwecke zur Verfügung zu stellen, sorgten international und auch hierzulande für Aufmerksamkeit.
Doch mit einer Ankündigung im April schockte der Open-AI-Rivale die gesamte Tech-Branche. Das KI-Modell Claude Mythos Preview soll in kürzester Zeit tausende kritische Sicherheitslücken in gängigen IT-Systemen identifiziert haben, darunter sämtliche breit genutzte Betriebssysteme und Browser. In einem Fall, so Anthropic, habe Mythos eine 27 Jahre alte Schwachstelle in Open BSD entdeckt, ein Betriebssystem das als besonders sicher gilt und von zahlreichen Unternehmen eingesetzt wird.
Wert Mythos nutzen will, braucht den Angaben zufolge nicht einmal besondere Fachkenntnisse. Auch Entwickler ohne Spezialisierung in Sachen IT Security könnten damit quasi über Nacht Schwachstellen aufspüren, über die Angreifer beispielsweise fremde Systeme aus der Ferne übernehmen können.
Anthropic selbst beschrieb das System als potenziell so gefährlich, dass man es vorerst nicht veröffentlichen werde. Stattdessen gründete der KI-Spezialist ein Konsortium aus Tech- und Finanzunternehmen, das Zugang zu Mythos bekommen soll. Zu den Mitgliedern gehören unter anderem Amazon, Apple, Google und Microsoft, Broadcom und Cisco sowie die Security-Anbieter Crowdstrike und Palo Alto Networks. Auch die Linux Foundation zählt zu den Partnern, die Mythos für defensive Zwecke nutzen dürfen.
Manch ein Beobachter sah in der Ankündigung zwar einen klassischen Marketing-Stunt. Doch die warnenden Stimmen gewannen schnell die Oberhand. „Das Zeitfenster zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung durch einen Angreifer ist zusammengebrochen“, kommentierte etwa Elia Zaitsev, Technologiechef von Crowdstrike. „Was früher Monate dauerte, passiert mit KI jetzt in Minuten.“
Anthropic-Chef Dario Amodei.
Besonders beunruhigend ist auch, dass europäische Player dabei offenbar weitgehend außen vor bleiben. „Wir stehen zu Claude Mythos mit dem Hersteller Anthropic im Austausch“, erklärte BSI-Präsidentin Claudia Plattner kurz nach der Ankündigung gegenüber dem Handelsblatt. Man habe das neue Tool zwar bisher nicht testen können, aber im persönlichen Gespräch mit den Entwicklern Einblicke in die Funktionsweise gewonnen. Das BSI nehme die Entwicklung sehr ernst und erwarte „Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt.“
Schon wenige Wochen nach den Enthüllungen zeichnete sich ab, dass Claude Mythos die Spielregeln der IT-Security auf den Kopf stellen könnte. Auf mittlere Sicht wird es womöglich gar keine unbekannten klassischen Sicherheitslücken mehr in IT-Systemen geben, so eine Befürchtung. Plattner warnt deshalb: „Dies würde eine Verschiebung der Angriffsvektoren und einen Paradigmenwechsel mit Blick auf die Cyberbedrohungslage zur Folge haben.“ Weil man nicht wisse, ob und wie lange derart mächtige Systeme frei verfügbar sein werden, ergäben sich „Fragen nationaler und europäischer Sicherheit und Souveränität.“
Und jetzt? - Mehr als 99 Prozent der Schwachstellen, die Mythos Preview identifiziert habe, sind laut Anthropic noch nicht behoben. Und das ist nur der Anfang: „Es wird mächtigere Modelle von uns und anderen geben“, erwartet Anthropic-Chef Dario Amodei. „Wir brauchen also einen Plan, um darauf zu reagieren.“ Die Sicherung der digitalen Infrastruktur werde Monate, wenn nicht Jahre dauern. Gefragt sei nun eine breite Kooperation von KI-Anbietern, IT-Sicherheitsspezialisten, Softwareherstellern und Regierungen. Amodei könnte hier mit gutem Beispiel vorangehen und zum Beispiel auch europäische Player in sein Konsortium einladen.
Fotocredit: Header-Bild von Pete Linforth auf Pixabay; Portrait Dario Amodei von Anthropic (Pressekit)