Anthropic arbeitet offenbar an einem geheimen KI-Modell namens „Mythos” – speziell für den Bereich Cybersicherheit konzipiert. Die durchgesickerten Informationen werfen grundlegende Fragen über Transparenz, Kontrolle und die wachsende Rolle von KI in staatlichen Offensivoperationen auf.
Anthropics geheimes Cybersecurity-Modell: Was über „Mythos” bekannt ist
Was ist Mythos?
Bei Mythos handelt es sich nach bisherigen Erkenntnissen um ein Large Language Model, das auf Cybersecurity-Anwendungen spezialisiert ist. Anders als Anthropics öffentlich verfügbares Claude-Modell soll Mythos gezielt für sicherheitsrelevante Aufgaben trainiert worden sein – darunter die Analyse von Schwachstellen, das Erkennen von Bedrohungsmustern und potenziell auch offensive Sicherheitsoperationen. Details zur genauen Architektur oder zum Trainingsansatz sind nicht bestätigt.
Das Projekt steht sinnbildlich für einen wachsenden Trend in der KI-Branche: Spezialisierte Modelle, die nicht für die breite Öffentlichkeit bestimmt sind, sondern für staatliche Stellen, Geheimdienste oder ausgewählte Unternehmenskunden entwickelt werden. Anthropic selbst pflegt bereits enge Beziehungen zur US-Regierung, unter anderem über Kooperationen mit dem amerikanischen Verteidigungsministerium.
Warum sorgt das für Bedenken?
Die Bedenken richten sich weniger gegen die legitimen Einsatzmöglichkeiten eines solchen Modells – Sicherheitsteams könnten damit schneller auf Angriffe reagieren – als gegen das Missbrauchspotenzial.
Ein hochspezialisiertes Modell, das in der Lage ist, Sicherheitslücken präzise zu identifizieren und zu beschreiben, könnte in den falschen Händen die Entwicklung von Cyberangriffen erheblich beschleunigen.
Sicherheitsforscher weisen darauf hin, dass die Hürde für staatlich geförderte Hackergruppen oder kriminelle Akteure sinkt, wenn leistungsfähige KI-Werkzeuge für Angriffszwecke verfügbar oder zugänglich werden. Selbst wenn Mythos ausschließlich an vertrauenswürdige Partner ausgeliefert wird, bleibt das Risiko eines Datenlecks oder eines Missbrauchs durch autorisierte Nutzer bestehen.
Fehlende Transparenz als strukturelles Problem
Ein zentrales Problem ist die Intransparenz rund um solche Spezialprojekte. Während öffentliche KI-Modelle zumindest teilweise durch externe Audits, Red-Teaming und veröffentlichte Sicherheitsberichte bewertet werden können, entziehen sich nicht-öffentliche Systeme weitgehend der unabhängigen Überprüfung.
Regulierungsbehörden in der EU haben bislang keine klaren Vorgaben entwickelt, wie mit KI-Systemen umzugehen ist, die bewusst außerhalb des öffentlichen Raums operieren.
Der EU AI Act erfasst grundsätzlich auch KI-Systeme, die in Europa eingesetzt werden – unabhängig davon, wo sie entwickelt wurden. Ob und inwiefern ein Modell wie Mythos darunter fällt, hängt jedoch maßgeblich davon ab, wer es einsetzt und zu welchem Zweck.
Einordnung für deutsche Unternehmen
Für deutsche Unternehmen und IT-Sicherheitsverantwortliche verdeutlicht der Fall Mythos eine strukturelle Verschiebung im Bedrohungsumfeld: KI-gestützte Cyberangriffe werden leistungsfähiger, während die Transparenz über verfügbare Offensivwerkzeuge abnimmt.
Security-Teams sollten ihre Threat-Intelligence-Prozesse entsprechend anpassen und davon ausgehen, dass potenziellen Angreifern zunehmend spezialisierte KI-Werkzeuge zur Verfügung stehen. Für den BSI-Rahmen und interne Risikoanalysen empfiehlt es sich, diesen Trend explizit zu berücksichtigen – unabhängig davon, ob Mythos jemals öffentlich zugänglich wird.
Quelle: The Guardian AI