Anthropics Claude Mythos knackt Jahrzehnte alte Software. Die Branche kann nicht schnell genug patchen.

Am 7. April hat Anthropic ein neues Sprachmodell vorgestellt, Claude Mythos Preview, und sich dann entschieden, es nicht öffentlich zugänglich zu machen. Der Grund: das Modell findet Sicherheitslücken in Software, die seit Jahrzehnten unentdeckt geblieben sind, und es kann sie nicht nur finden, sondern auch ausnutzen. Vollautomatisch, ohne menschliche Hilfe, über Nacht.

Das klingt nach der Art Übertreibung, die man aus AI-Pressemitteilungen gewohnt ist. Aber die Details erzählen eine andere Geschichte.

Was Mythos konkret kann

Mythos Preview hat einen 27 Jahre alten Bug in OpenBSD gefunden, einem Betriebssystem, dessen erste fünf Wörter im Wikipedia-Artikel "security-focused" lauten.¹ Es hat eine 16 Jahre alte Schwachstelle in FFmpeg entdeckt, einer der am gründlichsten getesteten Media-Libraries der Welt.¹ Und es hat eine 17 Jahre alte Remote-Code-Execution-Lücke in FreeBSD nicht nur gefunden, sondern einen funktionierenden Exploit geschrieben, der einem Angreifer Root-Zugriff gibt, ohne Authentifizierung, von irgendwo im Internet.¹

Um den Sprung greifbar zu machen: Anthropics vorheriges Top-Modell, Opus 4.6, hat bei einem Benchmark gegen Mozillas Firefox-JavaScript-Engine aus mehreren hundert Versuchen genau zwei funktionierende Exploits produziert. Mythos schaffte 181.¹ Das ist nicht die übliche inkrementelle Verbesserung, die man von Modellgenerationen kennt.

Nicholas Carlini, einer der profiliertesten AI-Security-Forscher überhaupt, sagte dazu: Er habe in den letzten Wochen mit Mythos mehr Bugs gefunden als in seinem gesamten Berufsleben davor.⁴

Das eigentlich Beunruhigende ist nicht das Finden

Die Bugs, die Mythos findet, sind fast ausnahmslos Memory-Safety-Schwachstellen in C und C++. Der 27 Jahre alte OpenBSD-Bug, der 16 Jahre alte FFmpeg-Bug, der 17 Jahre alte FreeBSD-Bug, alles Memory Safety. Mythos hat keine neue Klasse von Schwachstellen entdeckt. Es hat gezeigt, dass die alte Klasse tiefer reicht als jeder dachte.

Das ist ein wichtiger Unterschied. Seit Jahren empfehlen Institutionen wie die CISA den Umstieg auf speichersichere Sprachen wie Rust. Das Gegenargument war immer pragmatisch: Rewrites sind teuer, langsam, politisch schwierig, und der bestehende Code funktioniert doch. Mythos hat dieses Argument nicht widerlegt, aber es hat den Preis des Status quo sichtbar gemacht. Wenn ein Sprachmodell in wenigen Stunden Bugs findet, an denen 17 Jahre manuelles Auditing vorbeigeschaut haben, dann ist die Frage nicht mehr ob der alte Code Probleme hat, sondern wie viele.

Und hier wird es unbequem: Anthropic sagt explizit, dass sie Mythos nicht gezielt für diese Fähigkeiten trainiert haben. Die Exploit-Fähigkeiten sind ein emergentes Nebenprodukt allgemeiner Verbesserungen in Code-Verständnis, Reasoning und Autonomie.¹ Wenn das stimmt, wird jedes zukünftige Frontier-Modell, egal von welchem Anbieter, ähnliche Fähigkeiten mitbringen. Die Fähigkeit ist nicht einzudämmen, weil sie nicht gezielt gebaut wurde.

Die Lücke, die Mythos aufreißt

Die mediane Zeit, bis eine bekannte Schwachstelle ausgenutzt wird, liegt inzwischen bei unter fünf Tagen.⁵ Fast 29% der im CISA-Katalog gelisteten Schwachstellen wurden 2025 am Tag der Veröffentlichung oder davor ausgenutzt, hoch von 23,6% im Vorjahr.⁶ Enterprise-Patch-Zyklen liegen dagegen bei 30 bis 60 Tagen.

Diese Lücke zwischen Exploit-Verfügbarkeit und Patch-Deployment war schon vor Mythos ein Problem. Mythos verschärft es, hat es aber nicht geschaffen. 2025 wurden über 48.000 neue CVEs registriert, 131 pro Tag.⁵ Manuelle Triage war vorher schon nicht machbar. Mythos fügt dem Stapel tausende weitere hinzu.

Und hier steckt ein Widerspruch, über den noch wenig gesprochen wird. Anthropic hat mit Mythos tausende Schwachstellen gefunden, aber über 99% davon sind noch nicht gepatcht.¹ Viele Open-Source-Projekte werden von Freiwilligen gewartet. Eine Lawine professionell aufbereiteter Bug-Reports an ehrenamtliche Maintainer erzeugt keinen Sicherheitsgewinn, sie erzeugt Überlastung. Google Project Zero hat ähnliche Spannungen erzeugt, aber die Skalierung hier ist eine andere.

Project Glasswing, oder: wer bekommt den Vorsprung?

Anthropics Antwort heißt Project Glasswing: 12 namentlich genannte Launch-Partner, darunter AWS, Apple, Microsoft, Google, CrowdStrike, Palo Alto Networks, plus über 40 weitere Organisationen bekommen frühzeitig Zugang zu Mythos, um kritische Software zu härten, bevor Modelle mit vergleichbaren Fähigkeiten breit verfügbar werden.²

Das klingt vernünftig, und es ist vermutlich besser als die Alternative. Aber es ist auch industriepolitische Macht, verkleidet als Responsible Disclosure. Anthropic entscheidet, wer "kritisch genug" ist. Der Rest wartet.

Anthropic argumentiert, dass Verteidiger langfristig mehr von solchen Modellen profitieren als Angreifer, weil sie Schwachstellen finden und schließen können, bevor jemand sie ausnutzt. Das mag langfristig stimmen. Aber kurzfristig haben nur 52 handverlesene Organisationen Zugang zu Mythos, und der Rest der Welt nicht. Project Glasswing schafft damit genau die Asymmetrie, die es eigentlich verhindern soll, nur eben zugunsten derer, die Anthropic für wichtig genug hält. Ein skeptischer Praktiker würde fragen: Wenn Verteidiger wirklich langfristig gewinnen, warum dann das Modell nicht veröffentlichen?

Dazu kommt das Timing. Dario Amodei, CEO von Anthropic, sagt offen, dass mächtigere Modelle kommen werden, von Anthropic und von anderen.³ OpenAI bereitet laut Berichten ein ähnliches Programm vor.⁷ Wenn die Fähigkeit in Monaten auch bei Wettbewerbern auftaucht, schrumpft der Zeitvorsprung von Glasswing erheblich. Die Frage ist nicht ob, sondern ob der Vorsprung reicht.

Asbest im Gebäudebestand

Es gibt eine Analogie, die das Problem vielleicht am besten fasst. In den Siebzigerjahren wusste man plötzlich, dass ein Material, das jahrzehntelang in jede Wand verbaut worden war, giftig ist. Das Problem war nicht die Erkenntnis, sondern die Konsequenz: Millionen Gebäude, alle kontaminiert, und die Kapazität zum Sanieren war ein Bruchteil dessen, was nötig gewesen wäre. In vielen Fällen entschied man sich fürs Einkapseln statt fürs Entfernen, weil das Entfernen selbst neue Risiken schuf.

Mythos hat gerade gezeigt, dass der gesamte C/C++-Bestand, jedes Betriebssystem, jeder Browser, jede Krypto-Library, kontaminiert ist. Nicht mit einem Giftstoff, aber mit Memory-Safety-Bugs, die tiefer sitzen als jeder dachte. Und wie beim Asbest ist der Engpass nicht das Wissen um das Problem, sondern die Kapazität, es zu beheben.

Was das für Unternehmen bedeutet

Für die meisten Unternehmen ist die unmittelbare Handlungsebene nicht, selbst Mythos-Level-Modelle einzusetzen. Es ist, die eigenen Patch-Zyklen ehrlich zu bewerten. Wenn zwischen dem Bekanntwerden einer Schwachstelle und dem tatsächlichen Einspielen des Patches Wochen oder Monate vergehen, war das schon immer riskant. Es wird jetzt riskanter.

Anthropic selbst empfiehlt: Patch-Zyklen verkürzen, Auto-Updates aktivieren wo möglich, Dependency-Updates mit CVE-Fixes als dringend behandeln statt als Routine.¹ Das sind keine neuen Empfehlungen. Aber die Dringlichkeit dahinter hat sich verändert.

Die zweite Ebene ist strategischer. Wer heute Security-Dienstleister evaluiert, sollte fragen, wie diese mit AI-gestützter Vulnerability Discovery umgehen. Nicht als Buzzword-Checkbox, sondern konkret: Nutzen sie Frontier-Modelle zum Bugfinding? Wie sieht ihr Triage-Prozess aus, wenn die Menge an Findings drastisch steigt? Haben sie eine Strategie für die Phase, in der Mythos-Level-Fähigkeiten breit verfügbar werden?

Das sind Fragen, die vor einer Woche noch exotisch klangen. Jetzt werden sie operativ relevant.

---

Quellen

¹ Anthropic, Assessing Claude Mythos Preview's Cybersecurity Capabilities, 7. April 2026 ² Anthropic, Project Glasswing Announcement, 7. April 2026 ³ Axios, Anthropic withholds Mythos Preview, 7. April 2026 ⁴ AI Explained, Claude Mythos System Card Analysis (Video), April 2026 ⁵ Security Boulevard, 46 Vulnerability Statistics 2026 ⁶ VulnCheck, State of Exploitation 2026 ⁷ CNN, Anthropic's latest AI model could let hackers carry out attacks faster, 7. April 2026