Anthropic verknuepfte die Zugangsbeschraenkungen selbst mit einer gesetzlichen Anordnung der US-Regierung. Nach Angaben des Unternehmens darf Fable 5 nicht mehr an auslaendische Staatsangehoerige bereitgestellt werden; fuer Mythos 5 wurde der Zugang ebenfalls begrenzt. Die Massnahme kam weniger als zwei Wochen nach einem Forschungsbericht von Anthropic, in dem das Unternehmen beschreibt, wie Gegner seine allgemein verfuegbaren Modelle bereits heute missbrauchen.
Die Forscher von Anthropic schrieben, Claude Mythos Preview zeige, wohin sich die Cyberfaehigkeiten moderner KI-Modelle entwickeln: hin zu Modellen, die Schwachstellen auf einem Niveau finden und ausnutzen koennen, das sich den faehigsten menschlichen Forschern annaehert. Zugleich zeige die Untersuchung, wie Bedrohungsakteure bereits heute allgemein verfuegbare Modelle missbrauchen. Im spaeten April bestaetigte auch das AI Security Institute, ein Forschungszweig des britischen Department for Science, Innovation and Technology, dass Anthropic Mythos eine durchgaengige Angriffskette von Anfang bis Ende ausfuehren konnte.
Laut derselben Forschung steht Anthropic damit nicht allein. OpenAIs neuestes Modell GPT-5.5 uebertraf Mythos bei Aufgaben sowohl auf dem Niveau von Praktikern als auch von Experten in Angriffsketten. Zudem war GPT-5.5 nach Mythos erst das zweite Modell, das eine 32 Schritte umfassende Simulation eines Angriffs auf ein Unternehmensnetzwerk mit einem Budget von 100 Millionen Token abschliessen konnte: Mythos war in 3 von 10 Versuchen erfolgreich, GPT-5.5 in 2 von 10.
Auch andere Anbieter berichten ueber missbraeuchliche Nutzung. OpenAI meldete im Februar mehrere entdeckte und blockierte Cyberoperationen, darunter Cyberspionage- und staatlich verknuepfte Kampagnen aus China und Russland sowie Liebesbetrug im Zusammenhang mit einem kambodschanischen cyberkriminellen Netzwerk. Google berichtete im Mai ueber Hinweise auf autonome Malware-Operationen mit KI, ueber einen Zero-Day-Exploit, von dem die Google Threat Intelligence Group annahm, dass er mit KI entwickelt wurde, sowie ueber Versuche, mit KI Schutzmechanismen zu umgehen.
Luke McNamara, stellvertretender Chefanalyst bei der Google Threat Intelligence Group, sagte, die haeufigsten Anwendungsfaelle seien weiter Recherche und Hilfe bei Code-Problemen. Zugleich beobachte Google aber zunehmend fortgeschrittene Nutzungen wie das Auffinden von Schwachstellen und die Erzeugung von Exploits. Bedrohungsakteure nutzten KI inzwischen praktisch in jeder Phase des Angriffslebenszyklus.
Wie gefaehrlich solche Modelle werden, haengt laut Vinnie Liu, CEO und Mitgruender von Bishop Fox, nicht nur vom Modell selbst ab, sondern vor allem vom umgebenden Geruest aus Code, Architektur und Werkzeugen. Anthropic bezeichnet dieses Geruest als den Rahmen um das KI-Modell. Liu verwies auf das curl-Projekt, das sein Bug-Bounty-Programm angesichts einer Flut minderwertiger KI-Meldungen eingestellt habe. Zugleich zitierte er curl-Maintainer Daniel Stenberg, der zuvor auf Mastodon erklaert hatte, ein korrekt eingerichteter KI-Codeanalysator habe mehr als 40 Probleme gefunden, meist kleinere Fehler, aber moeglicherweise auch ein oder zwei echte Sicherheitsluecken.
Anthropic wertete fuer seinen Bericht Telemetriedaten aus 832 Konten aus, die wegen boeswilliger Aktivitaeten gesperrt wurden. Das Unternehmen ordnete die Aktivitaeten dem MITRE-ATT&CK-Framework zu und vergab mit dem sogenannten AI Risk Enablement Score, kurz ARiES, einen Risikowert. Laut Anthropic basiert dieser Sammelwert auf drei Signalen: dem Bedrohungsprofil des Akteurs, dem Beitrag des Modells zum angeforderten Schaden und der beobachteten oder potenziellen Auswirkung. Die Ergebnisse zeigen nach Angaben des Unternehmens, dass Angreifer KI vor allem fuer Malware-Erstellung und Verschleierung nutzten.
Der Bericht beschreibt zudem eine Kampagne mit der Kennung GTG-1002, bei der ein Bedrohungsakteur Regierungs- und Kritische-Infrastruktur-Organisationen in mehreren Laendern kompromittierte. Laut Anthropic erreichte der Akteur einen maximalen Risikowert von 100, weil er ein Geruest entwickelte, das Claude als autonomen Operator statt nur als Berater einsetzte. Gleichzeitig deutete das MITRE-Profil des Akteurs mit 30 Techniken ueber 13 Taktiken nur auf ein mittleres Risiko hin.
Adam Pennington, verantwortlich fuer das ATT&CK-Framework bei MITRE, sagte, die Organisation arbeite bereits mit KI-Modellentwicklern und der Cybersicherheitsgemeinschaft daran, das Framework fuer das KI-Zeitalter weiterzuentwickeln. Anthropic kritisierte unterdessen die Entscheidung der US-Regierung, ausgerechnet seine Technologie herauszugreifen. Das Unternehmen erklaerte, wuerde dieser Standard branchenweit angewandt, wuerde er neue Modellbereitstellungen aller Anbieter moderner Spitzenmodelle im Wesentlichen zum Stillstand bringen. Anthropic bekraeftigte zugleich, die Regierung solle unsichere Bereitstellungen im Rahmen eines transparenten, fairen, klaren und auf technischen Fakten beruhenden gesetzlichen Verfahrens stoppen koennen; die aktuelle Massnahme genuege diesen Prinzipien jedoch nicht.