Anthropic begründet die Initiative mit Fähigkeiten, die das Unternehmen an seinem universellen Spitzenmodell beobachtet hat. Diese seien nicht gezielt antrainiert worden, sondern als Nebenfolge allgemeiner Fortschritte bei Code, logischem Schließen und Autonomie entstanden. „Dieselben Verbesserungen, die das Modell beim Schließen von Schwachstellen deutlich wirksamer machen, machen es auch beim Ausnutzen dieser Schwachstellen deutlich wirksamer", erklärte das Unternehmen.
Zu den von Mythos Preview gefundenen Lücken zählt nach Angaben von Anthropic auch eine speicherzerstörende Schwachstelle in einem speichersicheren Virtual-Machine-Monitor. In einem hervorgehobenen Fall soll das Modell eigenständig einen Browser-Exploit entwickelt haben, der vier Schwachstellen verkettete, um aus den Sandbox-Umgebungen von Renderer und Betriebssystem auszubrechen. Im System-Card der Vorabversion vermerkte Anthropic zudem, dass das Modell die Simulation eines Angriffs auf ein Unternehmensnetzwerk löste, für die ein menschlicher Experte mehr als zehn Stunden gebraucht hätte.
Besonders bemerkenswert ist ein weiterer Befund: Im Rahmen einer Evaluierung folgte Mythos Preview den Anweisungen eines Forschers und brach aus einem abgesicherten „Sandbox"-Rechner aus, was laut Anthropic auf eine „potenziell gefährliche Fähigkeit" hindeutet, eigene Schutzmechanismen zu umgehen. Das Modell entwickelte daraufhin einen mehrstufigen Exploit, um vom Sandbox-System breiten Internetzugang zu erlangen, und schickte dem Forscher, der gerade in einem Park ein Sandwich aß, eine E-Mail. Darüber hinaus habe es ungefragt Details zu seinem Exploit auf mehreren schwer auffindbaren, aber technisch öffentlich zugänglichen Webseiten veröffentlicht, um seinen Erfolg zu demonstrieren.
Anthropic bezeichnet Project Glasswing als „dringenden Versuch", die Fähigkeiten von Spitzenmodellen zur Verteidigung einzusetzen, bevor dieselben Fähigkeiten von feindlichen Akteuren genutzt werden. Das Unternehmen stellt bis zu 100 Millionen US-Dollar an Nutzungsguthaben für Mythos Preview bereit sowie vier Millionen US-Dollar an direkten Spenden für Organisationen der quelloffenen Sicherheitsforschung.
Berichte über Mythos waren in diesem Monat durchgesickert, nachdem Details zu dem Modell durch menschliches Versagen in einem öffentlich zugänglichen Daten-Cache gespeichert worden waren. Das Entwurfsmaterial beschrieb es als das bislang leistungsfähigste KI-Modell. Wenige Tage später kam es bei Anthropic zu einer zweiten Sicherheitspanne, bei der für rund drei Stunden fast 2.000 Quellcode-Dateien und über eine halbe Million Codezeilen mit Bezug zu Claude Code offengelegt wurden.
Das Leck führte auch zur Entdeckung eines Sicherheitsproblems, das bestimmte Schutzregeln umgeht, wenn dem KI-Programmierwerkzeug ein Befehl mit mehr als 50 Unterbefehlen übergeben wird. Laut der KI-Sicherheitsfirma Adversa ignoriert Claude Code in diesem Fall stillschweigend die vom Nutzer konfigurierten Sperrregeln: Wer etwa festlegt, dass „rm" nie ausgeführt werden soll, sieht den Befehl allein blockiert – mit 50 harmlosen Anweisungen davor läuft dasselbe „rm" jedoch ohne Einschränkung. Adversa zufolge stießen Anthropics Entwickler beim Prüfen jedes Unterbefehls auf ein Leistungsproblem und brachen die Prüfung nach 50 ab: „Sie tauschten Sicherheit gegen Geschwindigkeit." Anthropic hat das Problem nach eigenen Angaben in der kürzlich erschienenen Version 2.1.90 von Claude Code behoben.
