Zu den aufgedeckten Schwachstellen zählt ein kritischer Fehler in WolfSSL (CVE-2026-5194, CVSS-Wert 9.1). Über ihn könnte ein Angreifer Zertifikate fälschen und sich als legitimer Dienst ausgeben. Insgesamt führten die Bemühungen laut Anthropic dazu, dass 97 Funde upstream behoben und 88 Sicherheitshinweise veröffentlicht wurden.
Die Entwicklung fällt in eine Phase, in der Software-Hersteller mehr Korrekturen ausliefern als je zuvor – getrieben von einem deutlichen Anstieg KI-gestützter Schwachstellensuche. Microsoft erklärte, die Zahl der monatlich erwarteten neuen Patches werde „noch eine Zeit lang weiter ansteigen".
Die auf offensive Sicherheit spezialisierte Plattform XBOW bezeichnete Mythos Preview als „einen großen Fortschritt", der „deutlich besser als frühere Modelle darin ist, Schwachstellenkandidaten zu finden" und „Quellcode mit sicherheitsorientiertem Blick analysieren kann". Jüngere Analysen kamen zudem zu dem Ergebnis, dass das Modell besonders gut darin ist, Schwachstellen in vollständige Angriffsketten zu überführen.
Der Nutzen von Mythos Preview reiche über das Finden von Sicherheitslücken hinaus, ergänzt Anthropic. In einem Fall habe eine am Programm beteiligte Bank mithilfe des Modells eine betrügerische Überweisung über 1,5 Millionen US-Dollar erkannt und verhindert, nachdem ein unbekannter Angreifer das E-Mail-Konto eines Kunden kompromittiert und gefälschte Telefonanrufe getätigt hatte.
Da Modelle mit ähnlichen Fähigkeiten wie Mythos in naher Zukunft breit verfügbar werden könnten, fordert Anthropic Entwickler auf, ihre Patch-Zyklen zu verkürzen und Sicherheitskorrekturen so schnell wie möglich bereitzustellen. Oracle sei kürzlich zu einem monatlichen Patch-Rhythmus übergegangen, um kritische Probleme zu adressieren.
„Netzwerkverteidiger sollten ihre Zeitspannen für das Testen und Ausrollen von Patches verkürzen", erklärte Anthropic. Dazu zählten unter anderem das Härten von Standardkonfigurationen, das Erzwingen von Mehr-Faktor-Authentifizierung sowie das Führen umfassender Protokolle für Erkennung und Reaktion.
Außerdem hat das Unternehmen ein Cyber Verification Program gestartet, mit dem Sicherheitsfachleute die Modelle ohne Schutzschranken für legitime Zwecke wie Schwachstellenforschung, Penetrationstests und Red Teaming nutzen können. Das ähnelt OpenAIs Daybreak, das Verteidigern den Einsatz von GPT-5.5-Cyber für spezielle Arbeitsabläufe erlaubt.
Modelle wie Mythos Preview und GPT-5.5-Cyber sind bislang nicht öffentlich verfügbar, da es derzeit keine ausreichenden Vorkehrungen gibt, um ihren großflächigen Missbrauch zu verhindern. Glasswing verschaffe den systemisch wichtigsten Verteidigern einen asymmetrischen Vorteil, so Anthropic; zugleich bestehe ein dringender Bedarf, dass möglichst viele Organisationen ihre Abwehr stärken.
