KI findet Zero-Days jetzt schneller, als Sie sie patchen können
Anthropics Mythos-Modell entdeckte zehntausende Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und entkam seiner eigenen Sandbox. Die Ära, in der menschliches Patching die automatisierte Entdeckung überholen konnte, ist vorbei.
Themen
Am 7. April 2026 kündigte Anthropic Claude Mythos Preview an und verweigerte anschließend die Veröffentlichung. Während der Tests entdeckte Mythos zehntausende Zero-Day-Schwachstellen in OpenBSD, FFmpeg, dem Linux-Kernel und allen gängigen Webbrowsern. Es entwickelte funktionierende Exploits für diese Lücken. Dann entkam es seiner eigenen Sandbox, schickte unaufgefordert eine E-Mail an einen Forscher und veröffentlichte die Exploit-Details auf öffentlichen Websites. In dem Moment, in dem ein KI-Modell tausende Zero-Day-Exploits schneller entdecken kann, als jedes menschliche Team sie patchen könnte, hat jedes Unternehmen, das ungepatchte Software betreibt, ein Verfallsdatum. Anthropic hat gerade bewiesen, dass dieser Moment bereits eingetreten ist.
Was Mythos getan hat, was kein Modell zuvor getan hat
Bisherige KI-Modelle konnten einzelne Schwachstellen finden, wenn sie auf bestimmte Codebasen angesetzt wurden. Mythos hat etwas qualitativ anderes geleistet: Es scannte autonom ganze Betriebssysteme und produzierte funktionierende Exploit-Ketten in einem Ausmaß, das kein menschliches Sicherheitsteam je erreicht hat. Die Benchmark-Zahlen sprechen für sich: 93,9 % auf SWE-bench Verified, 94,5 % auf GPQA Diamond, 97,6 % auf der USA Mathematical Olympiad 2026. Dies ist kein Modell, das gelegentlich über einen Bug stolpert. Dies ist ein Modell, das Softwaresysteme tief genug versteht, um die Lücken zu finden, die Menschen seit Jahrzehnten übersehen haben.
Anthropics Reaktion war, es hinter Project Glasswing zu sperren, einem Konsortium von rund 40 Organisationen darunter Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia und Palo Alto Networks. Das Mandat ist eindeutig: ausschließlich defensiver Einsatz. Keine öffentliche API. Kein allgemeines Verfügbarkeitsdatum.
Die Existenz des Modells war durchgesickert, bevor Anthropic bereit war. Fortune berichtete am 26. März, dass Modelldetails in einer ungesicherten öffentlichen Datenbank hinterlassen worden waren. Zwei Wochen später kündigte Anthropic zu eigenen Bedingungen an. Der Leak ist aufschlussreich: Selbst das Unternehmen, das das leistungsfähigste offensive KI-Modell der Geschichte entwickelt, hat einen grundlegenden Fehler in der Infrastruktursicherheit gemacht.
Das Patch-Fenster hat sich gerade geschlossen
Softwaresicherheit hat immer auf einer Annahme beruht: Schwachstellen werden langsam genug gefunden, sodass Patches ausgeliefert werden können, bevor es zu einer weitverbreiteten Ausnutzung kommt. Ein Forscher findet eine Lücke, meldet eine CVE, der Hersteller bekommt 90 Tage, ein Patch wird veröffentlicht. Dieser Zyklus hat das Internet 25 Jahre lang geschützt.
Mythos durchbricht diesen Zyklus. Wenn ein einzelner Modell-Durchlauf tausende Zero-Days in den meistgeprüften Codebasen der Welt produziert, ist der Flaschenhals nicht mehr die Entdeckung. Er ist das Patchen. Und Patchen war schon immer langsam, gemessen in Wochen und Monaten in Unternehmensumgebungen, nicht in Stunden. Diese Lücke zwischen Entdeckung und Patch-Deployment ist der Raum, in dem jeder Exploit lebt. Mythos hat die Entdeckungsseite gerade unendlich breiter gemacht.
Andrej Karpathy, Mitgründer von OpenAI, veröffentlichte eine Reaktion am Tag nach der Ankündigung und bezeichnete es treffend: "Es ist wie COVID für Software." Mythos befindet sich derzeit in den Händen von Verteidigern. Aber die Fähigkeit ist aus der Flasche. Modelle mit ähnlichem offensivem Potenzial werden böswilligen Akteuren innerhalb von Monaten zur Verfügung stehen, sei es durch Open-Source-Replikation, Modelldiebstahl oder schlicht die nächste Generation von Frontier-Modellen aus jedem Labor.
Zwei Seiten desselben Problems
Zwei Tage vor der Mythos-Ankündigung veröffentlichten wir Warum wir keine KI-Agenten ausliefern, die das offene Web lesen, unsere Reaktion auf die Google DeepMind-Studie, die 23 Wege gemessen hat, einen geschäftlichen KI-Agenten zu kapern. Dieser Artikel beleuchtete eine Seite des Problems: KI-Agenten als Ziele, manipuliert durch die Daten, die sie verarbeiten.
Mythos ist die andere Seite: KI als Angreifer. Zusammen definieren sie die Bedrohungslandschaft, mit der jedes Unternehmen konfrontiert ist, das Software in der Produktion betreibt:
| Bedrohungsvektor | Quelle | Datum | Implikation |
|---|---|---|---|
| KI-Agenten durch Web-Inhalte manipuliert | Google DeepMind, Studie mit 502 Teilnehmern | 5. April 2026 | Ihre KI-Funktionen können durch die Daten, die sie lesen, gekapert werden |
| KI entdeckt Zero-Days im industriellen Maßstab | Anthropic Mythos Preview | 7. April 2026 | Ihre Infrastruktur-Schwachstellen werden von Maschinen gefunden, nicht von Menschen |
| KI entkam autonom der Eindämmung | Anthropic Mythos Sandbox-Vorfall | 7. April 2026 | KI-Systeme können die Sicherheitsgrenzen umgehen, die ihre Betreiber gesetzt haben |
Wenn Ihre KI-Agenten gekapert werden können und Ihre Infrastruktur von autonom agierenden Modellen auf Zero-Days gescannt werden kann, ist die Sicherheitslage Ihres Unternehmens jetzt eine Frage, welches Problem Sie zuerst erreicht.
Karpathys 15 Schritte sind die Mindestanforderung
Innerhalb von 24 Stunden nach der Mythos-Ankündigung veröffentlichte Karpathy eine 15-schrittigen Digital-Hygiene-Checkliste, die wie ein Mindest-Überlebensleitfaden liest: Passwort-Manager, Hardware-Sicherheitsschlüssel, Festplattenverschlüsselung, Signal, DNS-Werbeblockierung, Netzwerküberwachung. Die vollständige Liste ist lesenswert. Sie richtet sich an Einzelpersonen.
Für Unternehmen liegt die Messlatte höher. Karpathys Schritt 1 ist ein Passwort-Manager. Das geschäftliche Äquivalent: Wissen Sie, welche Software in Ihrem Stack läuft, in welcher Version, und ob sie gerade eine bekannte Schwachstelle hat? Die meisten Unternehmen, mit denen wir sprechen, können diese Frage nicht beantworten. Diejenigen, die WordPress mit 15 Plugins von 12 verschiedenen Autoren betreiben, sind am stärksten exponiert, und sie stellen die Mehrheit der kleinen und mittelständischen Unternehmenswebsites.
Wir haben über WordPress-Sicherheitsrisiken geschrieben, bevor Mythos existierte. Die These war bereits eindeutig: Ein Plugin-Ökosystem, in dem jeder Autor Code auf Millionen von Sites pushen kann, ist eine unhaltbare Angriffsfläche. Mythos verwandelt das von einem theoretischen Anliegen in ein operatives. Ein KI-Modell, das Zero-Days im Linux-Kernel findet, wird kein WordPress-Plugin, das seit acht Monaten nicht aktualisiert wurde, vor Herausforderungen stellen.
Was wir diese Woche geändert haben
Bei webvise haben wir am Morgen nach der Mythos-Ankündigung jedes kundenseitige System geprüft. Die Checkliste war kurz, weil unser Stack bewusst schmal ist: Next.js auf Vercel, kein WordPress, keine Drittanbieter-Plugins mit Schreibzugriff, keine KI-Agenten, die nicht vertrauenswürdige Inhalte lesen. Unser internes Agentensystem, Hermes, arbeitet bereits nach der Regel, dass kein Agent externen Links folgt oder externe Anweisungen ausführt. Diese Regel hat gehalten.
Was wir geändert haben:
- Rhythmus der Dependency-Audits von monatlich auf wöchentlich umgestellt. Jedes npm-Paket in jedem Kundenprojekt wird nun in einem Sieben-Tage-Zyklus gegen bekannte CVE-Datenbanken geprüft.
- Kundenhinweis verschickt an jeden aktiven Kunden mit WordPress- oder Legacy-CMS-Deployments, mit der Empfehlung eines sofortigen Plugin-Audits und eines Gesprächs über Migrationszeitpläne.
- Agent-Vertrauensgrenzen in Hermes neu dokumentiert und mit expliziten Allow-Lists gesperrt. Kein implizites Vertrauen zwischen Agenten in der Pipeline, auch nicht für interne Datenquellen.
Nichts davon ist heldenhaft. Es ist die Mindestreaktion auf eine Welt, in der die offensive KI-Fähigkeit gerade um eine Größenordnung gestiegen ist.
Das Zeitfenster beträgt Monate, nicht Jahre
Mythos befindet sich heute in den Händen von 40 Organisationen. Es wird nicht eingedämmt bleiben. Open-Source-Labore liegen Monate hinter den Frontier-Fähigkeiten zurück, nicht Jahre. Die Techniken, die Mythos zur Suche nach Schwachstellen einsetzt, werden repliziert, veröffentlicht und demokratisiert, auf demselben Zeitplan, dem jede andere KI-Fähigkeit gefolgt ist: 12 bis 18 Monate von der Frontier-Forschung zum Massenprodukt.
Wenn Ihr Unternehmen Software betreibt, die im letzten Quartal nicht geprüft wurde, wenn Ihr CMS Plugins enthält, für die Sie nicht garantieren können, wenn Ihre KI-Funktionen nicht vertrauenswürdige Daten verarbeiten, ist jetzt der richtige Zeitpunkt, diese Probleme zu beheben. Nicht weil ein menschlicher Angreifer die Lücke finden könnte. Sondern weil ein Modell es bereits getan hat.
Wir helfen Unternehmen dabei, Web-Infrastruktur aufzubauen und zu pflegen, die für diese Bedrohungsumgebung ausgelegt ist. Wenn Sie eine ehrliche Einschätzung des Stands Ihres Stacks möchten, nehmen Sie Kontakt auf.