Der Zugang von ENISA knüpft an Project Glasswing an, eine streng kontrollierte Initiative, über die Anthropic ausgewählten Organisationen sein Modell für Cybersicherheitsforschung und das Aufspüren von Schwachstellen zur Verfügung stellt. Anthropic hatte das Vorhaben zuvor angekündigt, damit ein sorgfältig geprüfter Kreis von Unternehmen Sicherheitslücken in den eigenen Produkten finden und schließen kann, bevor Angreifer sie entdecken.

Derzeit umfasst Glasswing nach den Angaben mehr als 40 Organisationen, darunter Amazon, Apple, Microsoft, Google, die Linux Foundation, JP Morgan Chase und NVIDIA. Beteiligt sind unter anderem Betreiber kritischer Software-Infrastruktur sowie Anbieter von Open-Source-Software. Anthropic hat zugesagt, diesen Organisationen Nutzungsguthaben im Wert von 100 Millionen US-Dollar für den Einsatz von Mythos bereitzustellen.

Regnier bezeichnete das Ergebnis als Folge der engen bilateralen Zusammenarbeit der Kommission mit Anthropic und betonte, der Zugang zu Mythos sei von größter Bedeutung, um sich ein klares Bild über die möglichen Risiken KI-gestützter Schwachstellensuche und -ausnutzung zu verschaffen. Die Sorge um den doppelten Verwendungszweck solcher Werkzeuge reiche über ein einzelnes Modell hinaus: Mythos sei kein Einzelfall, eine neue Welle leistungsfähiger Modelle komme auf den Markt. Es handle sich um eine gemeinsame Herausforderung, weshalb man die Gespräche mit gleichgesinnten Partnern, einschließlich der Vereinigten Staaten, verstärke.

Die Vereinbarung gilt als Erfolg für Brüssel, ist aber noch nicht vollständig umgesetzt. ENISA, deren Aufgabe in etwa der der US-Behörde CISA ähnelt, jedoch mit geringerer operativer Rolle, wäre die erste europäische Einrichtung mit Zugang zu Mythos. Die Kommission sieht diesen Einblick als wesentlich an, um nicht nur Mythos selbst zu verstehen, sondern auch die institutionelle Fähigkeit aufzubauen, die zu erwartende Welle ähnlich leistungsfähiger Modelle zu bewerten.

John Gallagher, Vice President bei Viakoo, wertet ENISAs Zugang als seriösen und glaubwürdigen Beitrag zur Vorbereitung auf den Tag, an dem Organisationen mit einem massiven Anstieg zu behebender Schwachstellen umgehen müssten. ENISA bringe ihren Fokus auf kritische Infrastruktur in Glasswing ein sowie ihre Erfahrung in der aktiven Koordinierung operativer Reaktionen auf Bedrohungen in ganz Europa.

Kritisch sehen Fachleute, dass die US-Behörde CISA offenbar außen vor bleibt. Gene Moody, Field CTO bei Action1, nennt die scheinbare Nichtbeteiligung von CISA besorgniserregend und sieht darin ein Anzeichen für auseinanderdriftende strategische Prioritäten: Europäische Regulierer konzentrierten sich auf die Stärkung der Verteidigung durch kontrollierten KI-Einsatz. Ein geringerer Zugang zu modernsten defensiven Werkzeugen könne dazu führen, dass öffentliche wie private Akteure mit deutlich eingeschränktem Einblick in aufkommende Bedrohungen operierten.

Anthropic hat allerdings nicht die vollständige Liste der an Glasswing beteiligten Organisationen veröffentlicht. Es ist daher möglich, dass CISA doch teilnimmt. Weder Anthropic noch CISA reagierten auf eine entsprechende Anfrage von Dark Reading.