Die Mythosversion von Anthropic hat in Sicherheitskreisen weltweit Besorgnis erregt. Das KI-Modell hat eine bemerkenswerte Fähigkeit demonstriert: Es kann nicht nur existierende Sicherheitslücken in etablierter Software identifizieren, sondern auch eigenständig Exploit-Ketten entwickeln – und das in einer Geschwindigkeit und Skalierung, die bisherige Methoden deutlich übertrumpft. Anthropic selbst hat dokumentiert, dass Mythos Tausende von Schwachstellen in weit verbreiteter Software entdeckt hat, darunter eine 27 Jahre alte Lücke in OpenBSD und ein 17 Jahre altes Sicherheitsproblem in FreeBSD.
Als sich die Europäische Kommission in den vergangenen Wochen mit Anthropic austauschte, stand eine zentrale Frage im Raum: Wie können europäische Cybersecurity-Institutionen mit dieser neuen Technologie Schritt halten? Thomas Regnier, Tech-Souveränität-Sprecher der Europäischen Kommission, bestätigte gegenüber Dark Reading, dass mehrere konstruktive Gespräche stattgefunden haben. Die potenzielle Zuerkennung von Mythos-Zugriff für ENISA wird als entscheidend bewertet, um die Risiken von KI-gestützter Schwachstellenerkennung und -ausbeutung vollständig zu verstehen.
Project Glasswing, das strikte Kontrollen für die Mythos-Nutzung vorsieht, umfasst bereits über 40 Organisationen – darunter Tech-Giganten wie Amazon, Apple, Microsoft und Google, aber auch die Linux Foundation und kritische Infrastruktur-Betreiber. Anthropic hat $100 Millionen in Nutzungsguthaben für diese Partner bereitgestellt. ENISA wird nun die erste europäische Institution sein, die auf das Modell zugreift.
Für deutsche Unternehmen und das BSI (Bundesamt für Informationssicherheit) eröffnet sich ein doppeltes Szenario: Einerseits können defensive Maßnahmen durch ENISA-Forschung gestärkt werden. Andererseits wächst das Risiko, dass Cyberkriminelle und state-sponsored Akteure bald Zugang zu ähnlich leistungsstarken Modellen erhalten. Experten warnen, dass die Barrier für groß angelegte, automatisierte Cyberangriffe drastisch sinken könnte.
Bemerkenswert ist die Abwesenheit der USA aus diesem Prozess: Das amerikanische Cybersecurity and Infrastructure Agency (CISA) scheint nicht in Glasswing vertreten zu sein – ein Zeichen wachsender strategischer Divergenzen zwischen Europa und den USA in der KI-Sicherheitspolitik. Diese Lücke könnte langfristig Implikationen für die transatlantische Cybersecurity-Zusammenarbeit haben.
Die Verhandlungen zwischen Anthropic und der Europäischen Kommission über die genauen Bedingungen für ENISAs Zugriff sind noch nicht abgeschlossen. Deutschland und europäische Behörden sollten diese Entwicklung genau beobachten und ihre eigenen Abwehrstrategien entsprechend anpassen.