Das hier ist ein vollständig KI generierter Artikel.

Anthropic hat mit Claude Mythos Preview ein KI-Modell vorgestellt, das so gut beim Aufspüren von Sicherheitslücken in Software sein soll, dass es nicht für die breite Öffentlichkeit freigegeben wird. Stattdessen soll es nur ausgewählten Unternehmen dienen, um deren eigene Software zu scannen und zu härten. Hinter dieser Ankündigung steckt sowohl Marketing als auch eine unbequeme Wahrheit: Generative KI-Modelle werden rasant besser darin, Schwachstellen in komplexen Systemen zu finden und auszunutzen – mit weitreichenden Folgen für IT-Sicherheit und darüber hinaus.

Mythos im Kontext: Nicht einzigartig, aber symptomatisch

Anthropic positioniert Mythos als besonders leistungsfähiges Werkzeug zur Schwachstellensuche. Doch Analysen zeigen: Andere Modelle sind ähnlich weit. Das britische AI Security Institute attestiert OpenAIs GPT-5.5 vergleichbare Fähigkeiten, und die Firma Aisle konnte die von Anthropic veröffentlichten Ergebnisse mit kleineren, günstigeren Modellen reproduzieren.

Hinzu kommt ein ökonomischer Aspekt: Mythos ist teuer im Betrieb, und Anthropic scheint nicht über die Ressourcen für einen breiten Rollout zu verfügen. Die eingeschränkte Verfügbarkeit lässt sich so auch als strategische Inszenierung lesen – Fähigkeiten andeuten, ohne sie umfassend nachweisen zu müssen, und gleichzeitig den Unternehmenswert steigern.

Unabhängig vom Marketing bleibt der Kern: Moderne generative KI – proprietär wie offen – wird sehr gut darin, Software zu analysieren, Schwachstellen zu identifizieren und Angriffe zu automatisieren.

Offensive: Automatisierte Angriffe auf breiter Front

Angreifende Akteure werden diese Fähigkeiten nutzen, um systematisch nach verwundbaren Systemen zu suchen und diese automatisiert zu kompromittieren. Denkbare Ziele reichen von Unternehmens-IT über kritische Infrastrukturen bis hin zu vernetzten Geräten im Alltag.

Die Motivlagen bleiben klassisch, die Mittel skalieren jedoch massiv:

  • finanzielle Erpressung durch Ransomware-Kampagnen,
  • Datendiebstahl für Spionage und Wirtschaftsvorteile,
  • Manipulation oder Störung von Systemen in geopolitischen Spannungen.

Die Folge ist eine Welt, in der Angriffe schneller, breiter und mit geringerer Einstiegshürde möglich werden. Das erhöht die Volatilität des digitalen Raums deutlich.

Defensive: KI als Turbo für das Patchen

Die gleiche Technologie steht jedoch auch Verteidigern zur Verfügung. Ein prominentes Beispiel: Mozilla nutzte Mythos, um 271 Schwachstellen in Firefox aufzuspüren. Diese Lücken wurden geschlossen und stehen Angreifern nicht mehr zur Verfügung. Perspektivisch ist zu erwarten, dass KI-gestützte Analyse und automatische Reparatur ein normaler Bestandteil des Softwareentwicklungsprozesses werden.

Das Potenzial ist erheblich:

  • schnellere Identifikation von Schwachstellen in grossen Codebasen,
  • automatisierte Vorschläge für Patches,
  • kontinuierliche Sicherheitsprüfungen während der Entwicklung.

Langfristig kann dies zu deutlich robusterer Software führen. Kurzfristig ist das Bild jedoch komplexer.

Der kurzfristige Sturm: Mehr Lücken, mehr Patches, viele Altlasten

In der Übergangsphase ist mit einer Flut an neu entdeckten Schwachstellen zu rechnen – und mit entsprechend häufigen Updates für Anwendungen und Geräte. Gleichzeitig bleiben strukturelle Probleme bestehen:

  • Viele Systeme sind technisch gar nicht oder nur mit grossem Aufwand patchbar.
  • Selbst patchbare Systeme werden in der Praxis oft nicht oder verspätet aktualisiert.
  • Das Ausnutzen einer Lücke ist häufig einfacher als ihre nachhaltige Behebung.

Das führt zu einem paradoxen Zustand: Die Transparenz über Schwachstellen steigt, doch ein signifikanter Teil dieser Lücken bleibt real ausnutzbar. Für Organisationen bedeutet das, ihre Sicherheitsstrategien an eine Welt anzupassen, in der sich sowohl Angriff als auch Verteidigung stark beschleunigen.

Langfristige Perspektive: Vorteil für die Verteidigung?

Mythos ist kein Ausreisser, sondern ein Zwischenschritt in einer schnellen Entwicklung. Modelle werden in kurzen Zyklen besser – auch beim Schreiben von Code. Je höher die Qualität der von KI generierten Software, desto grösser das Potenzial für standardmässig sicherere Systeme.

Im langfristigen „Endgame“ spricht vieles dafür, dass KI-gestützte Verteidiger einen strukturellen Vorteil gegenüber KI-gestützten Angreifern erlangen können:

  • Defensive KI kann systematisch ganze Ökosysteme härten,
  • Best Practices lassen sich automatisiert verbreiten und durchsetzen,
  • Sicherheitsprüfungen können kontinuierlich und flächendeckend erfolgen.

Voraussetzung ist allerdings, dass Organisationen diese Werkzeuge konsequent einsetzen und die nötigen Prozesse und Governance-Strukturen etablieren.

Jenseits von Code: KI und Regelwerke wie das Steuerrecht

Die Fähigkeiten, die KI beim Analysieren von Software zeigt – Mustererkennung, systematisches Durchsuchen von Zustandsräumen, logisches Schliessen – lassen sich auf andere komplexe Regelsysteme übertragen. Ein Beispiel ist das Steuerrecht: Es ist zwar kein Programmcode, funktioniert aber ebenfalls als Algorithmus mit Eingaben, Regeln und Ausgaben.

Überträgt man das Sicherheitsvokabular, ergeben sich Parallelen:

  • „Vulnerabilities“ entsprechen Steuerschlupflöchern,
  • „Exploits“ sind Steuervermeidungsstrategien,
  • „Angreifer“ sind spezialisierte Berater, Anwälte und Finanzabteilungen.

Es ist plausibel anzunehmen, dass grosse Finanzakteure bereits KI-Modelle mit nationalen und internationalen Steuergesetzen füttern, um systematisch neue, bislang unentdeckte Gestaltungsmöglichkeiten zu finden – inklusive komplexer Konstrukte über mehrere Jurisdiktionen hinweg.

Regulatorische Systeme unter Druck

Was für das Steuerrecht gilt, lässt sich auf andere Regulierungsbereiche übertragen: Umweltrecht, Lebensmittel- und Produktsicherheit, Finanzmarktregulierung und mehr. Überall dort, wo komplexe Regelwerke auf wirtschaftliche Interessen treffen, kann KI dazu eingesetzt werden, Lücken zu identifizieren und auszunutzen.

Die Folgen sind potenziell gravierender als „nur“ unsichere Computersysteme:

  • Steuerschlupflöcher untergraben die Finanzierung staatlicher Aufgaben,
  • Regulierungslücken ermöglichen es mächtigen Akteuren, Auflagen zu umgehen,
  • die Anpassung der Regelwerke dauert Jahre und ist politisch umkämpft.

Anders als bei Software lassen sich Gesetze nicht einfach per Update über Nacht korrigieren. Gesetzgebungsprozesse sind langsam, und Lobbyinteressen wirken gezielt gegen das Schliessen profitabler Lücken. Historische Beispiele wie die langjährige Debatte um bestimmte Steuervorteile zeigen, wie zäh solche „Patches“ sein können.

Gesellschaftliche Anpassung an KI-beschleunigte Systeme

Die industrielle Revolution hat es ermöglicht, physische Arbeit in grossem Stil auszulagern. Die aktuelle KI-Entwicklung erlaubt es, kognitive Aufgaben in ähnlicher Weise zu skalieren. Unsere institutionellen und rechtlichen Systeme sind jedoch auf menschliche Geschwindigkeiten und Kapazitäten ausgelegt.

Die bereits sichtbare Welle neu entdeckter Softwareschwachstellen ist ein Vorbote dessen, was in anderen Bereichen folgen kann: eine Flut von „Vulnerabilities“ in Steuersystemen, Regulierung und Governance-Strukturen. Sich darauf einzustellen, wird anspruchsvoll – aber unvermeidlich.

Fazit: Mythos ist weniger als singuläre Bedrohung interessant, sondern als Symbol für einen Wendepunkt: KI-Modelle werden zu zentralen Akteuren in der Sicherheitslandschaft – in der IT ebenso wie in rechtlichen und regulatorischen Systemen. Kurzfristig steigt das Risiko, langfristig eröffnet sich die Chance auf robustere, besser abgesicherte Strukturen. Entscheidend wird sein, ob Gesellschaften es schaffen, ihre Prozesse und Institutionen an diese neue, KI-beschleunigte Realität anzupassen.

Quelle: https://www.schneier.com/blog/archives/2026/05/how-dangerous-is-anthropics-mythos-ai.html