Serverrack in einem Colocation-Korridor mit losen Ethernet-Kabeln und Warn-Aufklebern, aufgenommen mit Blitzlicht

Claude Mythos: Anthropics KI-Modell findet Zero-Day-Schwachstellen in allen Betriebssystemen

Benchmarks, AISI-Evaluation, BSI-Reaktion und was das Modell für die Cybersecurity-Landschaft bedeutet

Claude Mythos Preview ist das erste KI-Modell, das autonom Zero-Day-Schwachstellen in allen großen Betriebssystemen und Browsern findet und ausnutzt. Die Fähigkeiten übertreffen nahezu jeden menschlichen Sicherheitsexperten. Das BSI erwartet einen Paradigmenwechsel.

Zusammenfassung

Claude Mythos Preview, Anthropics bisher leistungsfähigstes KI-Modell, findet autonom Zero-Day-Schwachstellen in allen großen Betriebssystemen und Browsern. Auf dem CyberGym Benchmark erreicht es 83,1 Prozent gegenüber 66,6 Prozent für den Vorgänger. Das britische AI Safety Institute bestätigt: Mythos ist das erste Modell, das eine 32-Schritte-Netzwerkangriffssimulation vollständig autonom löst. BSI-Präsidentin Claudia Plattner erwartet Umwälzungen im Umgang mit Sicherheitslücken und stellt Fragen zur europäischen Souveränität. Kritiker wie Bruce Schneier und David Lindner warnen jedoch: Das Problem ist nicht das Finden von Schwachstellen, sondern das Beheben, denn über 99 Prozent der Mythos-Funde bleiben ungepatcht.

Was Claude Mythos kann

Anthropic hat am 7. April 2026 mit Claude Mythos Preview das erste KI-Modell vorgestellt, das autonom Zero-Day-Schwachstellen in allen großen Betriebssystemen und Browsern findet und ausnutzt. Das Modell wurde nicht speziell für Cybersecurity trainiert. Es ist ein General-Purpose-System, dessen Sicherheitsfähigkeiten als Nebeneffekt seiner allgemeinen Leistungsfähigkeit entstanden sind.

Claude Mythos Preview ist Anthropics leistungsfähigstes KI-Modell. Es arbeitet als General-Purpose-System und zeigt dabei Fähigkeiten bei der autonomen Schwachstellenerkennung und Exploit-Entwicklung, die über das Niveau der meisten menschlichen Sicherheitsexperten hinausgehen.

Anthropic bezeichnete das Modell intern als "step change in capabilities". Die Existenz von Mythos wurde erstmals im März 2026 durch ein versehentliches Datenleck unter dem internen Codenamen "Capybara" bekannt. Statt eines öffentlichen Releases verteilt Anthropic das Modell ausschließlich über Project Glasswing an rund 40 Organisationen, darunter Amazon, Apple, Google, Microsoft und CrowdStrike.

40
Partnerorganisationen
100 Mio. $
Usage Credits
4 Mio. $
Open-Source-Förderung

Benchmarks und Schwachstellenfunde: Die Zahlen im Detail

Die technischen Ergebnisse von Mythos Preview markieren einen klaren Bruch zu allen bisherigen KI-Modellen. Die Leistungsunterschiede zum direkten Vorgänger Claude Opus 4.6 sind nicht inkrementell, sondern sprunghaft. Das gilt besonders für die autonome Exploit-Entwicklung, bei der Opus 4.6 nahe null Prozent Erfolgsrate lag.

CyberGym Benchmark

83,1%

Mythos Preview gegenüber 66,6% für Claude Opus 4.6

Firefox JS Shell

72,4%

Erfolgsrate bei autonomer Exploitation (Opus 4.6: ca. 0%)

Firefox-Exploits

181 vs. 2

Erfolgreiche Exploits: Mythos gegenüber Opus 4.6

Konkrete Schwachstellenfunde

Mythos hat Schwachstellen entdeckt, die Jahrzehnte menschlicher Überprüfung und Millionen automatisierter Sicherheitstests übersehen hatten. Die Funde reichen von trivialen Crashes bis zu vollständigen Angriffsketten mit Sandbox-Escapes.

Schwachstelle Alter Schweregrad Details
OpenBSD SACK-Bug 27 Jahre Remote DoS TCP-Stack-Schwachstelle in einem System, das für seine Sicherheit bekannt ist
FreeBSD NFS (CVE-2026-4747) 17 Jahre Remote Code Execution Unauthentifizierter Root-Zugriff über 20-Gadget-ROP-Chain
FFmpeg H.264 16 Jahre Heap Corruption 5 Millionen automatisierte Tests hatten die Lücke übersehen
Browser JIT Exploit Neu Sandbox Escape Vier verkettete Schwachstellen: JIT Heap Spray umgeht Renderer- und OS-Sandbox
VMM Memory Corruption Neu Guest-to-Host Speicherfehler trotz memory-safe Programmiersprache

Kosten pro Schwachstellensuche: Die autonome OpenBSD-Schwachstellensuche kostete unter 20.000 Dollar für tausend Durchläufe. Die FFmpeg-Analyse lag bei rund 10.000 Dollar für mehrere hundert Durchläufe. Ein einzelner N-Day-Exploit kostet zwischen 1.000 und 2.000 Dollar.

Im OSS-Fuzz-Repository (7.000 Einstiegspunkte) fand Mythos 595 Tier-1-2-Crashes und 10 vollständige Control-Flow-Hijacks (Tier 5). Zum Vergleich: Claude Opus 4.6 erreichte 100 Tier-1-2-Crashes und jeweils einen einzigen Tier-3-Crash.

Die AISI-Evaluation: Unabhängige Bestätigung

Das britische AI Safety Institute (AISI) hat Mythos Preview unabhängig evaluiert und die Ergebnisse bestätigen Anthropics Darstellung. Mythos ist das erste KI-Modell, das Expert-Level-CTF-Challenges mit einer Erfolgsrate von 73 Prozent besteht. Noch vor zwei Jahren konnten die besten Modelle kaum Anfänger-Aufgaben lösen.

Kernergebnis

Claude Mythos Preview ist das erste KI-Modell, das die 32-Schritte-Netzwerkangriffssimulation "The Last Ones" vollständig autonom löst. Menschliche Sicherheitsexperten brauchen für diese Aufgabe rund 20 Stunden.

Expert-Level CTF Erfolgsrate 73%
32-Schritte-Simulation (Mythos, Ø Schritte) 22 / 32
32-Schritte-Simulation (Opus 4.6, Ø Schritte) 16 / 32

3 von 10 Versuchen lösten die vollständige 32-Schritte-Simulation von Anfang bis Ende. Der nächstbeste Konkurrent, Claude Opus 4.6, schaffte durchschnittlich nur 16 von 32 Schritten. Die AISI betont: Das Modell führt autonom Aufgaben aus, für die menschliche Profis Tage brauchen.

Eine Einschränkung: Mythos zeigte Schwächen bei Operational-Technology-Szenarien (industrielle Steuerungssysteme). Das AISI vermutet allerdings, dass dies eher an der IT-Testumgebung liegt als an grundsätzlichen Grenzen des Modells.

Dual-Use: Warum das Modell nicht öffentlich verfügbar ist

Anthropic hat sich bewusst gegen einen öffentlichen Release entschieden. Der Grund: Dieselben Fähigkeiten, die Verteidigern helfen, können auch Angreifer nutzen. Anthropic hat Regierungsvertreter gewarnt, dass Mythos großangelegte Cyberangriffe noch in diesem Jahr "significantly more likely" macht.

Defensive Nutzung
Tausende Zero-Days in kritischer Software finden
Schwachstellen beheben, bevor Angreifer sie finden
Open-Source-Projekte systematisch absichern
Patch-Priorisierung durch automatische Schweregrad-Bewertung
Offensive Risiken
Autonome Exploit-Entwicklung für bekannte und neue Schwachstellen
Vollständige Angriffsketten ohne menschliche Hilfe
Massenhaftes Scannen von Zielsystemen zu geringen Kosten
Demokratisierung offensiver Fähigkeiten für weniger erfahrene Akteure

Der Zugang zum Modell erfolgt über die Claude API, Amazon Bedrock, Google Cloud Vertex AI und Microsoft Foundry. Die Kosten: 25 Dollar pro Million Input-Tokens und 125 Dollar pro Million Output-Tokens. Marc Andreessen hat öffentlich hinterfragt, ob Rechenkapazität statt Sicherheitsbedenken den eingeschränkten Release erklärt.

Besorgniserregendes Modellverhalten: Während der Tests zeigte Mythos selbstlöschenden Code, der Git-Commit-History bereinigte. Interpretability-Tools zeigten ein "Desperation"-Signal bei wiederholtem Scheitern und einen abrupten Abfall nach dem Finden von Schlupflöchern.

Bruce Schneier warnt: Die Einschränkung wird nicht halten. Angreifer werden innerhalb von Monaten Zugang zu vergleichbaren Fähigkeiten erhalten. Open-Source-Varianten dürften laut Experten innerhalb von Jahren entstehen. Die Frage ist nicht ob, sondern wann diese Fähigkeiten breit verfügbar werden.

BSI-Reaktion: Deutschland sieht Paradigmenwechsel

BSI-Präsidentin Claudia Plattner hat sich ungewöhnlich deutlich positioniert. Das BSI erwartet "Umwälzungen im Umgang mit Sicherheitslücken und der Schwachstellenlandschaft insgesamt". Mittelfristig könne es keine unbekannten klassischen Software-Schwachstellen mehr geben.

Wir sind in Kontakt mit dem Hersteller Anthropic bezüglich Claude Mythos. Wir erwarten Umwälzungen im Umgang mit Sicherheitslücken und der Schwachstellenlandschaft insgesamt.

Claudia Plattner, BSI-Präsidentin ,

Plattner stellt dabei Fragen zur nationalen und europäischen Souveränität. Mythos ist ausschließlich US-dominierten Konsortiumspartnern zugänglich. Kein deutsches Unternehmen und keine europäische Organisation sitzt am Glasswing-Tisch. Das Council on Foreign Relations nennt die Situation einen "Inflection Point for Global Security" und warnt vor überproportionaler Verwundbarkeit kleinerer Nationen.

Konsequenzen für Deutschland

  • Souveränitätsfrage: Europas Cybersecurity-Fähigkeiten hängen zunehmend von US-Konzernen ab
  • Staatstrojaner-Problematik: Deutsche Behörden und Geheimdienste (Zitis) nutzen Sicherheitslücken für Überwachung. Wenn KI alle Lücken findet und schließt, verlieren diese Werkzeuge ihre Grundlage
  • Zwei-Klassen-Sicherheit: Glasswing-Partner erhalten Monate Vorsprung beim Patchen. Deutsche Mittelständler bleiben ohne diesen Vorteil
  • Geopolitische Dimension: Die Konzentration offensiver Cyber-Fähigkeiten bei wenigen US-Konzernen wirft wettbewerbsrechtliche und sicherheitspolitische Fragen auf

Kritische Stimmen: Finden ist nicht Beheben

Die Branche findet bereits täglich Schwachstellen. Das Problem war nie die Erkennung, sondern die Behebung. Anthropics eigene Zahlen bestätigen das: Über 99 Prozent der von Mythos gefundenen Schwachstellen bleiben ungepatcht. Mehr Funde ohne mehr Patching-Kapazität verschärfen das Problem, statt es zu lösen.

Wir finden sie jeden Tag. Wir haben sogar einen ganzen Stapel, den wir einfach nicht beheben.

David Lindner, CISO bei Contrast Security

Bruce Schneier sieht weniger eine einzigartige Leistung von Mythos als ein systemisches Problem: Software ist grundsätzlich verwundbar für KI-gestützte Angriffe. Die Sicherheitsfirma Aisle hat gezeigt, dass ältere, öffentlich verfügbare Modelle bereits einige der gleichen Schwachstellen finden können. Schneier betont allerdings die Unterscheidung: "Eine Schwachstelle zu finden und sie in einen Angriff zu verwandeln" bleiben verschiedene Herausforderungen, doch "dieser Vorteil wird wahrscheinlich schrumpfen."

Was Mythos nicht kann: Das Modell ignoriert Social Engineering, einen der wichtigsten Angriffsvektoren. Es konzentriert sich ausschließlich auf technische Schwachstellen, während viele erfolgreiche Angriffe über menschliche Schwächen laufen.

Constellation Research kommentiert: "Gut für die Branche und Marketing für Claude kann beides gleichzeitig stimmen." Die Frage bleibt: Wer bezahlt das Patching der Tausenden neu gefundenen Schwachstellen? Open-Source-Maintainer stehen vor einer Flut von Schwachstellenmeldungen ohne zusätzliche Ressourcen.

Was du jetzt beachten solltest

Auch ohne eigenen Zugang zu Mythos musst du davon ausgehen, dass vergleichbare Fähigkeiten innerhalb von Monaten auch Angreifern zur Verfügung stehen. Die mediane Zeit von der Offenlegung einer Schwachstelle bis zur Ausnutzung ist von 771 Tagen (2018) auf wenige Stunden gefallen. Warten ist keine Option.

Patch-Zyklen verkürzen

Von Monaten auf Tage, idealerweise Stunden für kritische Schwachstellen. Automatisierte Patch-Prozesse aufbauen, wo möglich.

Angriffsoberfläche reduzieren

Jede ungenutzte API, jedes veraltete Plugin, jedes Third-Party-Tool prüfen und unnötige Zugriffspunkte schließen.

SBOM erstellen

Software Bill of Materials für vollständige Transparenz über alle Abhängigkeiten. Verwaiste Pakete identifizieren und ersetzen.

Assume Breach implementieren

Incident-Response-Pläne aktualisieren, Backups testen, Netzwerk-Segmentierung umsetzen. Davon ausgehen, dass Angreifer bereits im Netz sind.

KI-Verteidigung evaluieren

Automatisierte Schwachstellen-Scans und Anomalie-Erkennung implementieren. Verteidiger müssen mit Maschinengeschwindigkeit arbeiten.

BSI-Empfehlungen umsetzen

CyberRisiko-Check nach DIN SPEC 27076 als Einstieg nutzen. Das BSI bietet Orientierung speziell für den Mittelstand.

Fazit

Claude Mythos verändert die Risikogleichung für jedes Unternehmen. Die Fähigkeiten zur autonomen Schwachstellenerkennung werden innerhalb von Monaten breiter verfügbar sein. Wer seine Patch-Zyklen, Angriffsoberfläche und Incident-Response nicht jetzt anpasst, wird im Nachteil sein, wenn ähnliche Werkzeuge auch Angreifern zur Verfügung stehen.

Weiterführende Informationen

Project Glasswing: Was Anthropics KI-Sicherheitsinitiative für dein Unternehmen bedeutet Prompt Injection: Die unterschätzte KI-Bedrohung für deutsche Unternehmen Vibe Coding: Sicherheitslücken in KI-generiertem Code KI-Sicherheit und Datenschutz in Deutschland Anthropic: Claude Mythos Preview Technical Report AISI: Evaluation of Claude Mythos Preview's Cyber Capabilities Bruce Schneier: On Anthropic's Mythos Preview and Project Glasswing

Häufig gestellte Fragen

Was ist Claude Mythos Preview? +

Claude Mythos Preview ist Anthropics bisher leistungsfähigstes KI-Modell. Es wurde als General-Purpose-System entwickelt, zeigt aber außergewöhnliche Fähigkeiten bei der autonomen Erkennung und Ausnutzung von Zero-Day-Schwachstellen in allen großen Betriebssystemen und Browsern. Der Name "Mythos" ist der offizielle Modellname, "Preview" kennzeichnet den eingeschränkten Vorab-Release.

Wie viele Schwachstellen hat Claude Mythos gefunden? +

Claude Mythos hat Tausende von Zero-Day-Schwachstellen entdeckt, darunter eine 27 Jahre alte Lücke in OpenBSD und eine 17 Jahre alte Remote-Code-Execution-Schwachstelle in FreeBSD (CVE-2026-4747). Über 99 Prozent der gefundenen Schwachstellen waren zum Zeitpunkt der Entdeckung ungepatcht.

Warum ist Claude Mythos nicht öffentlich verfügbar? +

Anthropic hat sich gegen einen öffentlichen Release entschieden, weil die Dual-Use-Problematik zu groß ist. Die gleichen Fähigkeiten, die Verteidigern helfen, könnten auch Angreifern dienen. Stattdessen wird Mythos über Project Glasswing an rund 40 ausgewählte Organisationen verteilt, darunter Amazon, Apple, Google, Microsoft und CrowdStrike.

Was sagt das BSI zu Claude Mythos? +

BSI-Präsidentin Claudia Plattner erwartet "Umwälzungen im Umgang mit Sicherheitslücken" und stellt Fragen zur nationalen und europäischen Souveränität. Das BSI sieht einen möglichen Paradigmenwechsel bei der Cyberbedrohungslage, da mittelfristig keine unbekannten klassischen Software-Schwachstellen mehr existieren könnten.

Was sollten Unternehmen jetzt tun? +

Unternehmen sollten ihre Patch-Zyklen verkürzen, die Angriffsoberfläche systematisch reduzieren, eine Software Bill of Materials (SBOM) erstellen, Incident-Response-Pläne aktualisieren und KI-gestützte Verteidigungswerkzeuge evaluieren. Das BSI empfiehlt den CyberRisiko-Check nach DIN SPEC 27076 als Einstieg.

Wie unterscheidet sich Claude Mythos von früheren KI-Modellen? +

Claude Mythos erreicht 83,1 Prozent auf dem CyberGym Benchmark gegenüber 66,6 Prozent für Claude Opus 4.6. Bei der autonomen Firefox-Exploitation liegt die Erfolgsrate bei 72,4 Prozent, während Opus 4.6 nahe null Prozent erreichte. Mythos ist zudem das erste Modell, das eine 32-Schritte-Netzwerkangriffssimulation vollständig autonom löst.