Angst, die Büchse der Pandora zu öffnen? Das mächtigste Modell der Anthropologie wird nicht enthüllt.

Der Quellcode von OpenBSD weist eine 27 Jahre alte Sicherheitslücke auf. Es gibt eine 16 Jahre alte Sicherheitslücke in FFmpeg; der betreffende Codeabschnitt wurde über 5 Millionen Mal aufgerufen, bevor er entdeckt wurde. Diejenigen, die diese beiden Dinge aufgedeckt haben, waren weder Top-Forscher auf irgendeiner Bug-Bounty-Plattform noch Mitglieder des Google Project Zero. Es handelte sich um Anthropic, ein noch nicht öffentlich vorgestelltes Modell mit dem Codenamen Claude Mythos Preview.

Am 7. April kündigte Anthropic das Projekt Glasswing an. Die Aktion selbst war einfach: Mythos Preview musste nur mit einer Whitelist geteilt werden. Die Liste umfasste AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, die Linux Foundation, Palo Alto Networks sowie etwa 40 Institutionen, die für kritische Infrastrukturen verantwortlich sind. Wer nicht auf der Liste stand, hatte keinen Zugriff. Anthropic hat ausdrücklich erklärt, dass sie dieses Modell in naher Zukunft nicht öffentlich vorstellen wollen.

Dies ist das erste Mal, dass das hochmoderne Labor proaktiv sein wertvollstes Gut gesichert hat.

In den letzten zwei Jahren verlief die Veröffentlichung nahezu reflexartig. Jeder Generationssprung von GPT, Gemini und Claude folgte einem Muster von „Loslassen, Beobachten, Ausbessern“. Die eigene „Responsible Scaling Policy“ (RSP) von Anthropic ist im Wesentlichen ein Verpflichtungsrahmen: Erreichen einer bestimmten Leistungsschwelle, Umsetzung entsprechender Minderungsmaßnahmen und anschließende Fortsetzung der Veröffentlichung. Glasswing ist nicht der nächste Schritt in diesem Rahmen, sondern die erste Ausnahme. Ein Modell, das Anthropic selbst als „gemäß dem ursprünglichen Verfahren ungeeignet für die Veröffentlichung“ eingestuft hat, wurde auserkoren und ausschließlich den Hütern übergeben.

Was hat Mythos Preview erreicht? In der offiziellen Stellungnahme ist von „Tausenden von Zero-Day-Schwachstellen die Rede, die jedes gängige Betriebssystem und jeden Browser betreffen“. Aussagekräftiger als die Zahlen ist die Bandbreite der Fähigkeiten. Claude 4.6 Opus hatte bei Aufgaben wie der unabhängigen Schwachstellenerkennung eine Erfolgsquote nahe Null. Mit anderen Worten: Noch vor sechs Monaten konnte das stärkste öffentliche Model von Anthropic das überhaupt nicht leisten. Mythos kann mehrere voneinander unabhängige Schwachstellen zu einer kompletten Angriffskette verknüpfen, wobei ein vierstufiger Browser-Exploit ein bewährtes Beispiel dafür ist. Der Übergang von „nahezu null“ zu einer „Vier-Schwachstellen-Kette“ ist kein schrittweiser Fortschritt, sondern ein Quantensprung.

Die Instandhalter haben es bereits zu spüren bekommen. Sowohl Greg Kroah-Hartman vom Linux-Kernel als auch Daniel Stenberg, der Autor von curl, haben kürzlich dasselbe festgestellt: Im Laufe des letzten Jahres haben sich KI-generierte Sicherheitsberichte von „Spam-Niveau“ zu „echten, hochwertigen und unbedingt sehenswerten“ Inhalten entwickelt. Die Anzahl der Meldungen, die Open-Source-Projekte erhalten, steigt, ebenso wie deren Qualität, während der Personalaufwand für die Betreuer gleich bleibt. Das ist etwas, womit die Defensive schon lange zu kämpfen hat. Anthropics Aktionen haben dieses Thema lediglich von einer vagen Besorgnis in den Vordergrund gerückt.

Es lohnt sich, einen Blick auf die Whitelist selbst zu werfen. Die Liste umfasst die drei großen Cloud-Anbieter (AWS, Google, Microsoft), drei Hardware-Unternehmen (Apple, NVIDIA, Broadcom), zwei Hersteller von Netzwerkgeräten (Cisco, Palo Alto Networks), ein Unternehmen für Endpunktsicherheit (CrowdStrike), eine Open-Source-Infrastrukturorganisation (Linux Foundation) und eine Bank. Nur eine Bank ist auf der Liste vertreten, und zwar JPMorgan Chase.

Dies ist keine zufällige Zuteilung der Slots. Anthropic hat eine Karte entworfen, auf der steht: „Wenn diese Dinger fallen, stürzt der Himmel ein.“ Der überwiegende Teil des weltweiten Codes läuft auf der Infrastruktur dieser Unternehmen, und der überwiegende Teil des weltweiten Geldes fließt über eines dieser Unternehmen. Die Logik hinter der Whitelist lautet nicht: „Wer braucht es am dringendsten?“, sondern: „Wessen Ausfall wird sich am unmittelbarsten auf alle auswirken?“ Außerhalb dieser Liste hat Anthropic weitere 4 Millionen Dollar für Open-Source-Sicherheitsorganisationen bereitgestellt. Das Geld stellt Arbeitskräfte bereit, das Modell bietet die nötigen Fähigkeiten, und zusammen ergeben sie eines: den Instandhaltern ein paar Monate Zeit zu geben.

Die Formulierung von Anthropic selbst ist direkter als die der Whitelist. In ihrer Stellungnahme schreibt das Unternehmen: „Angesichts des Tempos der KI-Entwicklung wird diese Art von Fähigkeit langfristig nicht in den Händen derjenigen bleiben, die sich der Sicherheitsimplementierung widmen.“ Im Anschluss daran folgt die Zeile: „Die Verteidigung der globalen Netzwerkinfrastruktur kann mehrere Jahre dauern.“

Anthropic schließt aus diesen beiden Sätzen, dass das Zeitfenster, bevor das Modell durchsickert oder repliziert wird, kurz ist, während das Zeitfenster für die Verteidiger, um Schwachstellen zu beheben, lang ist. Der Kern von Glasswing liegt in der Balance zwischen diesen beiden zeitlichen Disparitäten. Mit einem kontrollierten ersten Schritt sparen sie sich einige Monate bis zu einem Jahr Reparaturzeit.

Diese Angelegenheit hat auch eine Washingtoner Dimension. Anthropic führt laufende Gespräche mit der US-Regierung über die Fähigkeiten von Mythos Preview. Gleichzeitig hat das Unternehmen einen ungelösten Streit mit den USA. Das US-Verteidigungsministerium über den Umfang des militärischen Einsatzes von KI. Einerseits lehnt das Unternehmen die Verwendung des Modells für bestimmte militärische Zwecke ab, andererseits teilt es dieses Modell proaktiv mit der Linux Foundation und dem Sicherheitsteam von Apple. Diese beiden Handlungen widersprechen sich nicht, sondern sind zwei Seiten derselben Medaille. Anthropic definiert, „wofür dieses Modell verwendet werden kann“, anstatt diese Definition den Nutzern zu überlassen.

Das Ungewöhnlichste an Glasswing ist nicht, was es tat, sondern wann es es tat. In der Vergangenheit haben KI-Unternehmen ihre Leistungsfähigkeit durch Produktveröffentlichungen unter Beweis gestellt. Anthropic beschließt nun, sich durch die „Nichtveröffentlichung“ zu beweisen. Ein hochmodernes Labor sperrt sein leistungsstärkstes Produkt aktiv weg, nicht aus kommerziellen Gründen, nicht weil die Abstimmung noch nicht abgeschlossen ist, nicht wegen regulatorischer Anforderungen, sondern weil es berechnet hat, dass der offene Zeitplan mit dem Fixierungs-Zeitplan nicht mithalten kann.

Worauf es in den kommenden Monaten ankommt, ist nicht die Mythos Preview selbst, sondern wie viele Sicherheitslücken von den rund 50 Institutionen auf der Whitelist, die sie getestet haben, geschlossen werden. Als nächstes gilt es abzuwarten, ob andere Spitzenlabore diesem Beispiel folgen werden. Wenn sie es tun, wird eine Branche, die nach dem Prinzip „offen, iterativ, offen“ arbeitet, ihren ersten Schritt nach dem Motto „Erstmal absichern, dann sehen wir weiter“ erlebt haben. Wenn sie es nicht tun, wird Anthropic derjenige sein, der vor der Tür steht. Den Schlüssel in der Hand, die Uhr im Blick.