Das AI Security Institute (AISI) bezeichnete „Mythos" in seiner Bewertung als „bei Cyberangriffen leistungsfähiger als jedes Modell, das wir bisher untersucht haben". Zugleich betonte das Institut erhebliche Einschränkungen, die einen Vergleich mit realen Bedrohungen erschweren. Dem Bericht zufolge sei das Modell „zumindest in der Lage, kleine, schwach verteidigte und verwundbare Unternehmenssysteme autonom anzugreifen, sofern bereits Zugang zu einem Netzwerk besteht".
Allerdings seien die Testumgebungen bewusst vereinfacht und leichter zu kompromittieren als reale Systeme gewesen, so das Institut. Es fehlten aktive Sicherheitsteams, Überwachungswerkzeuge und das Risiko der Entdeckung — Faktoren, die Angreifer üblicherweise begrenzen. Dadurch sei schwer zu beurteilen, wie solche Systeme gegen gut verteidigte Netzwerke abschneiden würden.
In einem begleitenden Blogbeitrag erklärte Richard Horne, Geschäftsführer des National Cyber Security Centre, KI werde zunehmend jene Organisationen bloßstellen, die keine angemessenen Schritte zum Schutz ihrer Cybersicherheit unternommen hätten. Zugleich könnten Verteidiger, die die Technologie wirksam einsetzten, ihre Erkennung und Reaktion verbessern. „Die Fähigkeit von Spitzen-KI-Modellen, Schwachstellen in Code zu finden, kann letztlich gut für unsere Cybersicherheit sein", sagte Horne.
Fortgeschrittenere Formen KI-gestützter Cyberoperationen könnten bereits in staatlich geförderten Programmen entstehen. Eine Berichterstattung von Recorded Future News legte Anfang des Jahres geleakte chinesische Fachdokumente offen, die Bemühungen zum Aufbau von KI-Systemen beschreiben, die verteidigte Netzwerke durchdringen und dabei einer Entdeckung entgehen sollen. Die Dokumente deuten auf einen Fokus nicht nur auf das Auffinden von Schwachstellen hin, sondern auf das Aufrechterhalten verdeckten Zugangs — eine komplexere Herausforderung als in kontrollierten KI-Bewertungen.
Ciaran Martin, Professor an der Blavatnik School of Government der Universität Oxford, sagte, die Bewertung des Instituts bringe mehr Realismus in die Debatte. „Der AISI-Bericht hat dem ganzen Rummel einen dringend nötigen, nüchternen Realismus verliehen. Er zeigt, dass die Hacking-Fähigkeiten von KI sogar noch schneller zunehmen als bisher angenommen", so Martin. Andererseits sei das Institut bei den Grenzen der Tests deutlich: „Mythos" sei wie ein Stürmer, der glänzend gegen Mannschaften ohne Torwart treffe, gegen einen Schlussmann vom Format eines Gianluigi Donnarumma aber bislang nicht getestet sei. Es komme erneut darauf an, die Abwehr dringend in dem „Transferfenster" aufzurüsten, das Anthropic und andere böten.
Der Brief der Regierung wiederholt frühere Appelle, dass Führungskräfte unmittelbar Verantwortung für die Cyber-Widerstandsfähigkeit übernehmen müssen. Er fordert Unternehmen auf, in grundlegende Sicherheitsmaßnahmen zu investieren, ihre Anfälligkeit für Cyberrisiken zu verstehen und sicherzustellen, dass sie auf Vorfälle reagieren und sich davon erholen können. Vieles davon greift bestehende Empfehlungen auf — etwa das Einspielen von Patches, die Überwachung von Netzwerken und die Vorbereitung von Notfallplänen.
