Anthropics Mythos‑KI entdeckt kritische Softwarelücken – und beunruhigt Finanzaufsichten weltweit

Für Sicherheits‑Teams ist das enorm wertvoll: Werden Fehler früh gefunden, lassen sie sich schließen, bevor Angreifer sie ausnutzen. Gleichzeitig zeigt die Technologie aber auch ein grundlegendes Problem: Wer Schwachstellen schneller finden kann, kann sie theoretisch auch schneller ausnutzen.

Warum Anthropic das Financial Stability Board informiert

Das Financial Stability Board ist ein internationales Gremium, das zentrale Banken, Finanzministerien und Aufsichtsbehörden der G20‑Volkswirtschaften koordiniert. Seine Aufgabe ist es, Risiken für die Stabilität des globalen Finanzsystems frühzeitig zu erkennen.

Anthropic hat zugestimmt, das Gremium über die Fähigkeiten von Mythos zu informieren, nachdem das Modell Sicherheitsprobleme identifiziert hat, die für digitale Finanzinfrastrukturen relevant sein könnten. Laut Berichten wurde die Präsentation vom britischen Notenbankchef Andrew Bailey, dem Vorsitzenden des FSB, angefragt.

Die Sorge der Behörden ist nachvollziehbar: Moderne Finanzsysteme hängen stark von digitaler Infrastruktur ab – etwa von Banking‑Software, Cloud‑Plattformen, Authentifizierungssystemen und Zahlungsnetzwerken. Eine kritische Schwachstelle in weit verbreiteter Software könnte daher gleichzeitig viele Banken oder Finanzdienstleister betreffen.

Warum Mythos nicht öffentlich veröffentlicht wird

Anthropic hat bewusst darauf verzichtet, das Modell frei zugänglich zu machen. Der Grund liegt in seinem sogenannten Dual‑Use‑Potenzial.

Wenn ein KI‑System automatisiert nach schwerwiegenden Schwachstellen in Betriebssystemen, Browsern oder zentraler Internet‑Infrastruktur suchen kann, sinkt der Aufwand für Angreifer erheblich. Cyberkriminelle oder staatlich unterstützte Hacker könnten solche Fähigkeiten nutzen, um Exploits schneller zu entwickeln oder großflächige Angriffe vorzubereiten.

Aus diesem Grund behandelt Anthropic Mythos eher wie eine sensible Sicherheitstechnologie als wie ein gewöhnliches KI‑Produkt.

Project Glasswing: Zugang nur für ausgewählte Partner

Statt einer öffentlichen Veröffentlichung startete Anthropic Project Glasswing, ein Programm mit streng kontrolliertem Zugang.

Dabei erhalten nur ausgewählte Organisationen Zugriff auf eine frühe Version des Modells, um Sicherheitslücken in wichtigen Software‑Systemen aufzuspüren und zu schließen. Zu den beteiligten Unternehmen gehören unter anderem:

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• NVIDIA
• The Linux Foundation
• Palo Alto Networks

Diese Organisationen betreiben oder sichern Infrastruktur, auf die Milliarden Menschen täglich angewiesen sind. Durch den gemeinsamen Einsatz der KI sollen Schwachstellen entdeckt und behoben werden, bevor Angreifer sie finden.

Warum Aufseher KI‑Cybertools als systemisches Risiko sehen

Finanzaufsichten betrachten moderne KI‑Cyberfähigkeiten zunehmend nicht mehr nur als technisches Problem, sondern als potenzielles Systemrisiko für die Weltwirtschaft.

Das Financial Stability Board hat bereits darauf hingewiesen, dass KI mehrere Verwundbarkeiten im Finanzsystem verstärken kann, darunter:

• starke Abhängigkeit von wenigen Technologie‑ und Cloud‑Anbietern
• steigende Cyberrisiken
• gleichzeitige Ausfälle vieler Institutionen
• unzureichende Kontrolle über KI‑Modelle und deren Einsatz

Da Banken, Börsen, Zahlungsnetzwerke und Fintech‑Plattformen oft auf denselben Software‑Stacks und Cloud‑Diensten basieren, könnte eine einzige kritische Schwachstelle gleich mehrere Teile des globalen Finanzsystems treffen.

Wenn KI‑Modelle wie Mythos sowohl das Auffinden als auch die mögliche Ausnutzung solcher Schwachstellen massiv beschleunigen, könnten Cybervorfälle schneller eskalieren und größere wirtschaftliche Folgen haben.

Was noch unklar ist

Trotz wachsender Aufmerksamkeit sind viele Details über Mythos bislang nicht öffentlich.

Anthropic hat weder konkret offengelegt, welche Schwachstellen entdeckt wurden, noch wie schwerwiegend sie sind oder ob unabhängige Sicherheitsforscher sie bereits bestätigt haben. Ein Großteil der Informationen stammt derzeit aus Unternehmensangaben und Medienberichten statt aus technischen Veröffentlichungen.

Diese Geheimhaltung ist allerdings Teil des Sicherheitsansatzes: Zu viele Details über entdeckte Schwachstellen könnten selbst neue Risiken schaffen.

Ein möglicher Wendepunkt für die Cybersicherheit

Mythos steht exemplarisch für eine größere Entwicklung in der IT‑Sicherheit. KI kann sowohl Verteidigung als auch Angriff drastisch beschleunigen.

Was früher Monate an manueller Codeanalyse erforderte, könnte künftig in Stunden oder sogar Minuten erledigt werden. Für Technologieunternehmen, Behörden und Finanzinstitutionen entsteht damit ein neues Wettrennen: KI schnell genug zur Verteidigung einsetzen – ohne ihre Fähigkeiten unbeabsichtigt zu einem Werkzeug für groß angelegte Cyberangriffe zu machen.