SchwachstellenKI-SicherheitCyberkriminalität

Claude Mythos: KI-Modell von Anthropic entdeckt über 23.000 Schwachstellen in Open-Source-Software

Von CyberDeutsch Redaktion
Claude Mythos: KI-Modell von Anthropic entdeckt über 23.000 Schwachstellen in Open-Source-Software
Zusammenfassung

Das Sicherheitsunternehmen Anthropic hat mit seinem KI-Modell Mythos eine bemerkenswerte Entdeckung gemacht: In über 1.000 Open-Source-Software-Projekten wurden mehr als 23.000 potenzielle Sicherheitslücken identifiziert. Von diesen wurden bereits 1.726 Anfälligkeit bestätigt, darunter über 1.000 mit hohem oder kritischem Schweregrad. Die Zahlen dürften weiter steigen, da Anthropic damit rechnet, dass bis zu 6.200 schwerwiegende Lücken bestätigt werden könnten. Während diese Entdeckungen zunächst positiv klingen, offenbaren sie auch ein tieferes Problem: Das Sicherheitsökosystem ist bereits überlastet. Bislang wurden nur 75 dieser Sicherheitsprobleme behoben und 65 Sicherheitswarnungen veröffentlicht. Für deutsche Nutzer, Unternehmen und Behörden ist dies hochrelevant, da viele auf Open-Source-Software angewiesen sind. Die KI-gestützte Schwachstellenerkennung könnte zwar die Sicherheit verbessern, verstärkt aber auch die Herausforderung für Entwickler, mit der Fülle an Meldungen umzugehen. Deutsche IT-Teams müssen sich auf verstärkte Patch-Management-Anforderungen vorbereiten und ihre Abhängigkeiten von betroffenen Projekten überprüfen.

Das KI-gesteuerte Vulnerability-Scanning wird zur neuen Normalität in der Cybersicherheit — mit unerwarteten Konsequenzen. Anthropic setzt mit seinem Mythos-Modell einen Maßstab, der die gesamte Sicherheitsbranche unter Druck setzt.

Bislang haben externe Sicherheitsfirmen 1.726 der 23.000 entdeckten Lücken überprüft und bestätigt. Anthropics eigene Schätzungen deuten darauf hin, dass letztendlich etwa 3.900 kritische und hochgradige Schwachstellen verifiziert werden könnten — möglicherweise sogar bis zu 6.200, wenn die noch laufenden Scans abgeschlossen sind.

Doch trotz dieser beeindruckenden Zahlen zeigt sich ein fundamentales Problem: Das Sicherheitsökosystem ist nicht darauf vorbereitet, mit dieser Flut umzugehen. Nur 75 der schwerwiegendsten Lücken wurden bereits gepatcht. Anthropic nennt drei Gründe: Erstens sind die meisten Schwachstellen noch innerhalb des 90-Tage-Fensters ihrer Koordinierten Offenlegungspolitik — weitere Patches sollten folgen. Zweitens werden Patches oft ohne öffentliche Sicherheitsankündigung veröffentlicht, was die tatsächliche Quote erhöht. Drittens — und das ist die besorgniserregendste Aussage — überfordert Mythos bereits ein überbelastetes System.

Die bisherigen Zugriffe auf Mythos Preview sind begrenzt: Etwa 50 Organisationen haben Zugang durch Anthropics Projekt Glasswing. Mozilla berichtete von 271 entdeckten Firefox-Anfälligkeit, Palo Alto Networks fand dutzende Fehler, und sogar die UK-Regierung testete das Modell erfolgreich. Google erhielt ebenfalls Zugang, doch es bleibt unklar, ob die jüngsten Chrome-Schwachstellen von Mythos, Googles eigenen KI-Tools oder beiden stammen.

Allerdings waren nicht alle Ergebnisse überzeugend: Bei der populären curl-Bibliothek fand Mythos nur eine Low-Severity-Lücke — was Sicherheitsexperten diskutieren lässt, ob dies ein Versagen des Modells oder ein Beweis für die Sicherheitsreife des Projekts ist.

Für deutsche Unternehmen und Behörden ergeben sich praktische Implikationen: Wer Open-Source-Komponenten einsetzt, sollte die neuen Findings proaktiv prüfen und in seine Patch-Management-Strategie integrieren. Das BSI könnte hier als Koordinationsstelle fungieren. Gleichzeitig muss Anthropic seine Sicherheitsvorkehrungen gegen Missbrauch verstärken — bislang hält das Unternehmen Mythos bewusst begrenzt verfügbar, um Missverhältnisse zu verhindern.

Ähnliche Artikel