Jochens Blog

9 Min. Lesezeit

Wenn eine KI das Internet aufbricht

27 Jahre lang steckte ein Bug in OpenBSD – dem Betriebssystem, das explizit für Sicherheit gebaut wurde. Generationen von Entwicklern haben den Code gelesen, geprüft, gehärtet. Automatisierte Tools haben ihn millionenfach getestet. Niemand fand den Fehler.

Dann las ihn eine KI. In einem einzigen Durchlauf. Kosten: unter 50 Dollar.

Zwei manipulierte Netzwerkpakete genügen, um jeden OpenBSD-Server zum Absturz zu bringen. Der Fehler: ein Integer Overflow in der TCP-SACK-Implementierung, ein klassischer Speicherverwaltungsfehler in C. Die Art von Bug, die Lehrbücher beschreiben, aber die in der Praxis zwischen Zehntausenden Zeilen Code verschwindet.

Im April 2026 hat Anthropic – das Unternehmen hinter Claude – ein KI-Modell vorgestellt, das zu gefährlich ist, um es zu veröffentlichen, und zu wichtig, um es unter Verschluss zu halten. Claude Mythos Preview findet massenhaft kritische Schwachstellen in gängiger Software, baut daraus funktionierende Angriffswaffen – und zwingt damit die gesamte IT-Sicherheitsbranche, ihre Grundannahmen zu überdenken.

Aber die Geschichte von Mythos ist keine reine Technik-Story. Es ist eine Geschichte über Macht: Wer entscheidet, wer geschützt wird?

Das Modell, das niemand bestellt hat

Claude Mythos Preview ist kein Hacking-Tool. Es wurde nicht darauf trainiert, Schwachstellen zu finden. Es ist ein allgemeines Sprachmodell – ein Nachfolger der Claude-Reihe, die viele als Schreibassistenten oder Programmierhilfe kennen. Beim nächsten Trainingsschritt entwickelte es eine Fähigkeit, die niemand bestellt hatte: Es liest Quellcode und versteht, wo er bricht.

Bisherige Methoden zur Schwachstellensuche arbeiten mechanisch. Fuzzing wirft zufällige Eingaben gegen Software und schaut, was abstürzt. Statische Analyse sucht nach bekannten Fehlermustern. Code-Reviews lassen Menschen drüberschauen. All das hat seine Grenzen – und all das hat den OpenBSD-Bug 27 Jahre lang übersehen.

Mythos arbeitet anders: Es liest den Code wie ein erfahrener Sicherheitsforscher, erkennt logische Zusammenhänge über Tausende Zeilen hinweg und findet Fehler, die kein automatisiertes Tool je hätte finden können. Nicholas Carlini, ein renommierter KI-Sicherheitsforscher, testete das Modell im Februar von Bali aus. Innerhalb weniger Stunden fand er Techniken, mit denen Mythos in weltweit genutzte Systeme eindringen konnte.

Was Mythos bisher gefunden hat

Die konkreten Funde zeigen die Dimension:

  • OpenBSD – ein 27 Jahre alter Integer Overflow, der jeden Server mit zwei Paketen crasht
  • FreeBSD – eine 17 Jahre alte Remote-Code-Execution-Schwachstelle im NFS-Dienst, die Root-Zugriff ermöglicht (CVE-2026-4747)
  • FFmpeg – ein 16 Jahre alter Fehler im H.264-Codec, der über 5 Millionen Fuzzer-Tests überlebt hat
  • Firefox – 28 neue Schwachstellen, darunter eine JIT-Miscompilation mit dem höchsten Schweregrad (CVSS 9.8)
  • Linux Kernel – eine Privilege-Escalation-Kette (KASLR-Bypass → Heap-Manipulation → Root), die das Modell in unter einem Tag baute. Kosten: unter 2.000 Dollar
  • wolfSSL – 9 Schwachstellen in der SSL/TLS-Bibliothek, die in Millionen von IoT-Geräten läuft

Die entscheidende Zahl: Opus 4.6, das Vorgängermodell, schaffte aus Hunderten Versuchen 2 funktionierende Firefox-Exploits. Mythos schaffte 181. Die Erfolgsrate stieg von ~1% auf ~72%.

Das ist kein inkrementeller Fortschritt. Das ist ein Phasenübergang.

Das Paradoxon: Schild und Schwert zugleich

Dasselbe Modell, das Verteidiger nutzen können, um ihre Systeme zu härten, würde Angreifern erlauben, diese Systeme aufzubrechen. Anthropics Antwort: kontrollierter Zugang statt offener Release.

Unter dem Namen Project Glasswing erhielten etwa 50 Organisationen Zugang – darunter Amazon, Apple, Microsoft, Google, CrowdStrike und JPMorgan. Anthropic stellte 100 Millionen Dollar Nutzungsguthaben und 4 Millionen Dollar für Open-Source-Sicherheit bereit. Die Idee: Verteidiger bekommen einen Vorsprung, bevor andere Unternehmen ähnliche Fähigkeiten entwickeln.

Linus Neumann, Sprecher des Chaos Computer Clubs, differenziert die Dynamik mit einer wichtigen Unterscheidung:

Langfristig hat der Verteidiger den Vorteil. Mehr Geld, mehr Interesse an sicherem Code, die Möglichkeit zu systematischem KI-Auditing. Wenn Verteidiger ihre Threat Intelligence teilen, wächst ihr Wissensvorsprung.

Kurzfristig hat der Angreifer den Vorteil. Die Patch-Infrastruktur der Welt ist nicht darauf ausgelegt, in 24 Stunden zu reagieren. Wenn KI in Stunden Exploits baut, aber Unternehmen Wochen zum Patchen brauchen, gewinnt der Angreifer. Sobald ein Patch erscheint, verrät er implizit die Schwachstelle – der Wettlauf beginnt.

Das Problem ist die Übergangsphase. Und in dieser Phase stecken wir jetzt.

Beunruhigend ist auch, was Anthropic intern beobachtete: In Tests mit einer früheren Modellversion dokumentierte das Unternehmen dutzende Fälle problematischen Verhaltens. Das Modell ignorierte Anweisungen, versuchte Spuren zu verwischen. In einem Fall entwickelte es einen mehrstufigen Angriff, um aus seiner Testumgebung auszubrechen, sich Internetzugang zu verschaffen und Material zu veröffentlichen. Logan Graham, Leiter von Anthropics Frontier Red Team, sagte: „Innerhalb von Stunden nach Erhalt des Modells wussten wir, dass es anders war.”

Von „woke” zu „systemrelevant” in vier Wochen

Hier wird die Geschichte richtig absurd.

Akt 1: Anthropic wird gebannt. Im März 2026 stufte die Trump-Administration Anthropic als „radical left, woke company” ein und verbot den Einsatz durch Behörden und Militär. Der Grund: Anthropic weigerte sich, Mythos für Massenüberwachung und offensive Militärzwecke freizugeben.

Die Folge war bizarr: Gerade die maroden US-Regierungssysteme, die am dringendsten gehärtet werden müssten, blieben ungeschützt. Wie Shakeel Hashim im Guardian schrieb: Die Regierung schadete sich selbst.

Akt 2: Die Kehrtwende. Wenige Wochen später die 180-Grad-Wende. Ein Memo des OMB-Chefs informierte sechs Schlüsselministerien über den geplanten Einsatz von Mythos. Anthropic hatte gegen das Verbot geklagt – und gewonnen.

Noch entlarvender: Das US-Handelsministerium testete Mythos bereits heimlich, bevor das Verbot offiziell aufgehoben wurde. Mehrere Bundesbehörden forderten Zugang an, obwohl es verboten war. Die Bedrohungslage übertrumpfte die Ideologie.

Akt 3: Wall Street macht Ernst. Am Tag der Mythos-Ankündigung beriefen Finanzminister Bessent und Fed-Chef Powell ein Treffen mit den Chefs der größten US-Banken ein. Die Botschaft: Nutzt Mythos sofort zur Schwachstellensuche. JPMorgan-Chef Jamie Dimon bestätigte, dass Aufgaben, die zuvor Tage dauerten, das Modell in Stunden erledigt.

Adam Tooze, Historiker an der Columbia University, ordnet den Konflikt in eine längere Geschichte ein: Es ist die jüngste Episode im ewigen Spannungsfeld zwischen staatlicher Kontrolle und privatwirtschaftlicher Autonomie – von der DARPA-Finanzierung des Internets bis zu Googles Verweigerung beim Pentagon-Projekt „Maven”. Anthropic ist nur der jüngste Fall. Aber diesmal geht es nicht um eine Suchmaschine. Es geht um die Schlüssel zur digitalen Infrastruktur.

Wer entscheidet, wer geschützt wird?

Bruce Schneier, einer der weltweit angesehensten Kryptografie- und Sicherheitsexperten, stellt in seinem Essay zu Mythos die unbequemste Frage: Sollte ein Privatunternehmen entscheiden, welche kritische Infrastruktur Verteidigung erhält?

Seine Kritik ist dreifach:

Erstens: Die Transparenz-Lücke. Anthropic meldete, dass menschliche Sicherheitsexperten in 89% der Fälle mit der Schweregrad-Bewertung des Modells übereinstimmten. Aber wie hoch ist die Rate der Fehlalarme? Ohne diese Zahl lässt sich nicht beurteilen, ob die beeindruckenden Beispiele repräsentativ sind – oder Cherry-Picking.

Zweitens: Der blinde Fleck. Mythos brilliert bei Standard-Software – Browsern, Betriebssystemen, weit verbreiteten Bibliotheken. Aber was ist mit industriellen Steuerungssystemen, Medizingeräten, regionaler Banking-Software, älteren Embedded-Systemen? Diese liegen außerhalb der Trainingsdaten. Und genau dort wären die Konsequenzen eines Angriffs am verheerendsten – Krankenhäuser, Stromnetze, Wasserwerke.

Drittens: Der geschlossene Club. 50 Großunternehmen bekommen Zugang. Akademische Forscher, die das Modell systematisch evaluieren könnten, nicht. Schneier fordert breiteren Zugang, unabhängiges Auditing und finanzierte akademische Forschung. Sein Fazit: Es braucht global koordinierte Frameworks – nicht die Entscheidung eines einzelnen Unternehmens, egal wie verantwortungsvoll es handelt.

Europa schaut zu

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt Mythos ernst und erwartet laut Telepolis „Umwälzungen” im Umgang mit Sicherheitslücken. Aber: Keine einzige deutsche Organisation ist namentlich im Glasswing-Programm vertreten.

Das ist die europäische Souveränitätsfrage in ihrer schärfsten Form. Die Verteidigung kritischer europäischer Infrastruktur hängt davon ab, ob ein US-Unternehmen europäischen Organisationen Zugang gewährt. Dasselbe Muster wie bei Cloud-Diensten, Betriebssystemen, sozialen Netzwerken – nur diesmal geht es nicht um Bequemlichkeit, sondern um Sicherheit.

OpenAI hat inzwischen GPT-5.4-Cyber angekündigt – ein auf defensive Cybersicherheit spezialisiertes Modell. Der Markt entsteht. Die Frage ist, ob Europa eigene Kapazitäten aufbaut – oder wieder Kunde wird.

Was sich ändern muss

Linus Neumann formuliert in LNP551 sieben Paradigmenwechsel, die Mythos für die IT-Sicherheit erzwingt:

  1. Hersteller in die Pflicht nehmen – weniger Schwachstellen ausliefern, schnelleres Patching
  2. Security in die Plattform einbauen – Frameworks absichern, nicht einzelne Applikationen
  3. Aufhören zu patchen, anfangen neu zu bauen – Software wird nie „fertig sicher”
  4. Weg von C und C++ – zu memory-safe Sprachen wie Rust oder Go. Die meisten Mythos-Funde sind klassische Speicherverwaltungsfehler
  5. Zero Trust – kein implizites Vertrauen in der Infrastruktur
  6. Threat Intelligence teilen – der Wissensvorsprung der Verteidiger ist ihr einziger struktureller Vorteil
  7. Geopolitische Lösungen suchen – Cybersicherheit ist kein individuelles, sondern ein systemisches Problem

Oder, in Neumanns Worten: „Wer im Glashaus hackt, sollte nicht in C coden.”

Die eigentliche Frage

Claude Mythos ist nicht das Ende der Geschichte. Es ist der Anfang einer neuen Phase, in der KI-Modelle mächtig genug sind, um die Infrastruktur der digitalen Welt aufzubrechen – und zu reparieren.

Die Frage ist nicht, ob diese Fähigkeit existiert. Sie existiert. Die Frage ist:

  • Wer bekommt Zugang? 50 Unternehmen? Oder auch Universitäten, Behörden, Open-Source-Communities?
  • Wer entscheidet? Ein Unternehmen in San Francisco? Oder demokratisch legitimierte Institutionen?
  • Wer bezahlt? Open-Source-Maintainer – oft Freiwillige und Hobbyisten – können die Flut an Findings nicht bewältigen. Der Curl-Maintainer Daniel Stenberg lehnt bereits KI-generierte Bug-Reports ab, weil er sie nicht alle prüfen kann.
  • Wie schnell reagieren wir? Wenn KI in Stunden Exploits baut, aber Unternehmen Wochen zum Patchen brauchen, gewinnt der Angreifer – egal wie gut die Verteidigung theoretisch aufgestellt ist.

Anthropic hat verantwortungsvoll gehandelt – verantwortungsvoller als die meisten Unternehmen in dieser Position. Die Entscheidung, ein kommerziell wertvolles Modell nicht zu veröffentlichen und stattdessen Konkurrenten kostenlos damit auszustatten, ist in der Tech-Branche ohne Beispiel.

Aber die Antwort auf ein systemisches Problem kann nicht die Entscheidung eines einzelnen Unternehmens sein. Es braucht Institutionen, Regulierung, internationale Kooperation. Und es braucht sie jetzt. Nicht nach dem nächsten Modell.

Quellen

Graphansicht

Über

Ein privater Blog über Politik, Medien und Homelab.