Mit Mythos hat Anthropic ein KI-System in die Welt gesetzt, das Sicherheitslücken eigenständig aufspüren und ausnutzen kann – ein Meilenstein für die offensive Cybersicherheit, der aber ebenso grundlegende Fragen zur Kontrolle und zum Missbrauchspotenzial solcher Technologie aufwirft.
Anthropic entwickelt KI-System zur automatisierten Schwachstellenanalyse
Anthropic hat ein KI-System namens Mythos entwickelt, das eigenständig Sicherheitslücken in Software aufspüren und ausnutzen kann. Das Tool markiert einen bedeutenden Schritt in der Automatisierung von Cybersicherheitsaufgaben – wirft aber zugleich grundlegende Fragen zur Kontrolle und zum möglichen Missbrauch solcher Systeme auf.
Was Mythos leisten soll
Mythos ist darauf ausgelegt, sogenannte Capture-the-Flag-Aufgaben zu lösen – standardisierte Sicherheitsübungen, bei denen es darum geht, Schwachstellen in kontrollierten Umgebungen zu finden und zu kompromittieren. Solche Aufgaben gelten in der Sicherheitsforschung als Maßstab für offensive Fähigkeiten.
Das Modell basiert auf Claude, Anthropics eigenem Large Language Model, und wurde gezielt für sicherheitsrelevante Aufgaben weiterentwickelt. Es kann:
- Code analysieren
- Angriffsvektoren identifizieren
- In simulierten Umgebungen Exploits ausführen
Laut Anthropic soll Mythos dabei helfen, Schwachstellen zu identifizieren, bevor Angreifer dies tun – ein Ansatz, der in der Branche als „Offensive Security” bekannt ist.
Dual-Use-Problematik
Die Entwicklung solcher Systeme steht vor einem strukturellen Dilemma:
Ein Werkzeug, das Schwachstellen effizient findet, ist in der Hand von Sicherheitsforschern ein legitimes Prüfinstrument – in der Hand von Angreifern eine potenzielle Waffe.
Anthropic betont, Mythos werde nur in kontrollierten Umgebungen eingesetzt und nicht öffentlich zugänglich gemacht. Dennoch bleibt die Frage offen, wie belastbar diese Beschränkungen langfristig sind.
Sicherheitsexperten diskutieren bereits, ob und wie solche Systeme reguliert werden sollten. Die Automatisierung von Angriffstechniken senkt die Einstiegshürde erheblich: Aufgaben, für die bisher erfahrene Sicherheitsspezialisten benötigt wurden, könnten künftig mit deutlich geringerem Fachwissen durchgeführt werden – von staatlichen Akteuren ebenso wie von kriminellen Gruppen.
Wer kontrolliert den Einsatz?
Anthropic positioniert sich als verantwortungsbewusster Akteur und verweist auf interne Sicherheitsprotokolle sowie auf das übergeordnete Ziel, die Defensive gegenüber der Offensive zu stärken. Das Unternehmen gehört zu den wenigen KI-Labs, die eigene Responsible Scaling Policies veröffentlicht haben – Leitlinien, die den Einsatz besonders leistungsfähiger Modelle regulieren sollen.
Kritiker hingegen bezweifeln, dass freiwillige Selbstverpflichtungen ausreichen:
- Die fehlende externe Aufsicht über Tools wie Mythos erschwert die Nachvollziehbarkeit tatsächlicher Einsatzbedingungen
- Staatliche Regulierungsrahmen wie der EU AI Act erfassen solche spezifischen Anwendungsfälle bislang nur unzureichend
Einordnung für deutsche Unternehmen
Für IT-Sicherheitsverantwortliche in deutschen Unternehmen hat die Entwicklung praktische Konsequenzen:
Die Verfügbarkeit KI-gestützter Angriffstools – ob bei Forschungslaboren oder früher oder später bei Bedrohungsakteuren – erhöht den Druck, eigene Systeme kontinuierlich und automatisiert auf Schwachstellen zu prüfen. Wer bislang auf manuelle Penetrationstests im Jahresrhythmus setzt, wird diesen Ansatz mittelfristig überdenken müssen.
Compliance- und Sicherheitsteams sollten die regulatorische Diskussion rund um offensive KI-Systeme aufmerksam verfolgen – denn was heute als Forschungsprojekt gilt, kann morgen eine eigene Risikokategorie im Rahmen des EU AI Act darstellen.
Quelle: New Scientist Tech