Anthropics Mythos-Modell wird in der Cybersicherheitsbranche als Durchbruch gehandelt. Der Schwerpunkt der Diskussion liegt auf seiner Fähigkeit zur Schwachstellenerkennung – und genau hier bestätigen die Tests von XBOW die hohen Erwartungen: “Mythos Preview stellt einen signifikanten Fortschritt gegenüber allen existierenden Modellen dar.” Das ist ein klares Signal für die Sicherheitscommunity.
Doch der Teufel steckt im Detail. XBOW testete Mythos unter verschiedenen Bedingungen und fand heraus, dass das Modell deutlich besser funktioniert, wenn es sowohl Quellcode als auch Live-Systemdaten analysieren kann. Dies entspricht einem Prinzip, das der Sicherheitsexperte Gary McGraw bereits vor 20 Jahren beschrieb: Designfehler können nicht allein durch Code-Analyse aufgedeckt werden – es braucht ein ganzheitliches Verständnis.
Bei der reinen Quellcode-Analyse zeigt sich Mythos zwar immer noch überlegen, aber nicht mit derselben Überlegenheit wie bei der kombinierten Analyse. XBOW betont zudem: Jedes KI-Modell findet etwas – nur nicht das Gleiche. Das bedeutet für Unternehmen, dass sie nicht erwarten können, dass ein einzelnes Tool alle Lücken offenbart.
In anderen Bereichen liefert Mythos gemischte Ergebnisse. Bei der Beurteilung von Findings ist das Modell zwar besser bei der Vermeidung falscher Positive, übersieht aber manchmal echte Sicherheitsprobleme, wenn die Evidenz nicht streng seinen Kriterien entspricht. Das erfordert von Nutzern präzise formulierte Anfragen – eine Herausforderung im operativen Alltag.
Eindeutig stark zeigt sich Mythos dagegen bei der Reverse-Engineering und der Analyse nativer Code-Schwachstellen. Das Modell kann komplexe Firmware- und Embedded-System-Kontexte verstehen – ein Vorteil für Unternehmen, die IoT-Geräte oder spezialisierte Hardware sichern müssen.
Eine kritische Beobachtung: Mythos wird etwa fünfmal so teuer sein wie Anthropics Opus-Modell. XBOW stellte sich die wichtige Frage, ob billigere Modelle mit mehr Zeit nicht gleichwertige oder sogar bessere Ergebnisse liefern könnten. Die Antwort ist ernüchternd für Early Adopters: Bei einem fixen Token-Budget schlägt GPT-4.5 Mythos bei Web-Vulnerabilities teilweise. Mythos ist also nicht unbedingt die kosteneffizienteste Lösung.
Fazit der Tests: Mythos ist tatsächlich ein “Titan” in der Schwachstellenerkennung, besonders bei Quellcode-Analysen. Aber wie jeder Riese ist er auch groß und teuer. Für deutsche Unternehmen bedeutet das: Das Tool ist wertvoll als Teil eines umfassenden Security-Ansatzes – nicht als Einzellösung. Die Kombination mit menschlichen Analysten und anderen Tools bleibt unverzichtbar, wie auch das BSI weiterhin empfiehlt.