Der Streit zwischen der EU und Anthropic über das Cybersecurity‑KI‑Modell Mythos

Für europäische Regulierer ergeben sich daraus zwei zentrale Risiken:

• Verteidigungslücke: Wenn Angreifer ähnliche Tools nutzen, während Verteidiger keinen Zugang haben, könnten kritische Systeme leichter kompromittiert werden.
• Kontrolllücke: Regierungen können Technologien kaum bewerten oder regulieren, wenn sie sie selbst nicht testen können.

Project Glasswing: Warum der Zugang so stark eingeschränkt ist

Statt einer breiten Veröffentlichung hat Anthropic Mythos in ein geschlossenes Forschungsprogramm namens Project Glasswing eingebunden. Darin erhalten nur ausgewählte Partner Zugriff auf das Modell, um Software nach Schwachstellen zu durchsuchen und diese zu schließen, bevor sie öffentlich bekannt werden.

Zu den beteiligten Organisationen zählen große Technologie‑ und Infrastrukturunternehmen wie Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco und JPMorgan Chase.

Die Idee dahinter: Unternehmen, die kritische digitale Infrastruktur betreiben, sollen ihre Systeme frühzeitig absichern können. Aus Sicht europäischer Politiker entsteht dadurch jedoch ein Ungleichgewicht:

• Viele der frühen Partner sind US‑Technologiekonzerne oder US‑Institutionen.
• Europäische Behörden und Regulierer haben bislang keinen direkten Zugang zum Modell erhalten.

Damit könnten europäische Unternehmen Schwierigkeiten haben, ihre Systeme gegen genau jene Schwachstellen zu testen, die Mythos entdeckt.

Warum Finanzminister und Banken das Thema diskutieren

Besonders sensibel ist der Finanzsektor. Banken betreiben komplexe IT‑Infrastrukturen, die für KI‑gestützte Schwachstellensuche besonders anfällig sein könnten.

Der EU‑Wirtschaftskommissar Valdis Dombrovskis bestätigte, dass die Europäische Kommission Gespräche mit Anthropic führt, damit europäische Unternehmen und Banken ihre Systeme mit Hilfe der neuen KI‑Fähigkeiten testen können.

Finanzaufsichtsbehörden warnen, dass KI‑Tools zur automatisierten Schwachstellenanalyse Angriffe auf Bankensysteme erheblich beschleunigen könnten – insbesondere wenn Verteidiger keinen Zugang zu vergleichbaren Technologien haben.

Anthropic plant außerdem, internationale Finanzaufseher im Rahmen des Financial Stability Board (FSB) über Schwachstellen zu informieren, die das Mythos‑Modell bereits im globalen Finanzsystem identifiziert hat.

Der Vergleich mit OpenAI: Zugang zu GPT‑5.5‑Cyber

Der Konflikt wurde zusätzlich verschärft, weil ein anderes KI‑Unternehmen einen anderen Weg eingeschlagen hat.

Im Mai 2026 kündigte OpenAI an, der Europäischen Union einen Vorschau‑Zugang zu seinem Cybersecurity‑Modell GPT‑5.5‑Cyber zu gewähren. Dieser Zugang soll europäischen Regierungen, Unternehmen und Behörden wie dem EU‑AI‑Office zur Verfügung stehen.

Damit entstand ein deutlicher Unterschied zwischen den beiden Ansätzen:

• OpenAI: bietet der EU strukturierten Zugang zu einem KI‑System für Cyber‑Verteidigung.
• Anthropic: beschränkt Mythos weiterhin auf Teilnehmer des Glasswing‑Programms, während Gespräche mit der EU noch laufen.

Für europäische Politiker geht es deshalb zunehmend um technologische Gleichbehandlung und Vertrauen zwischen transatlantischen Partnern.

Der größere Hintergrund: KI, Sicherheit und geopolitische Fragen

Der Streit um Mythos zeigt ein grundlegendes Dilemma moderner KI‑Technologie.

Modelle, die automatisch Software‑Schwachstellen entdecken können, haben einen doppelten Charakter: Sie können Systeme schneller absichern – aber auch hochentwickelte Cyberangriffe ermöglichen, wenn sie missbraucht werden. Aus diesem Grund setzen Entwickler wie Anthropic auf strikte Zugangskontrollen statt offener Veröffentlichung.

Regierungen argumentieren jedoch, dass ein Ausschluss von Regulierern und Partnerstaaten ebenfalls Risiken schafft:

• Behörden können die Technologie nicht unabhängig bewerten.
• Kritische Industrien können sich möglicherweise nicht rechtzeitig auf neue Schwachstellen vorbereiten.

Dadurch wird die Debatte über Mythos zunehmend als geopolitische Frage der KI‑Governance, Cyberabwehr und internationalen Technologiekontrolle geführt.

Wie es weitergehen könnte

Die Gespräche zwischen Anthropic und EU‑Institutionen laufen weiter. Brüssel sucht nach Möglichkeiten für einen kontrollierten Zugang, der sowohl Sicherheitsbedenken als auch regulatorische Anforderungen berücksichtigt.

Gleichzeitig bleibt eine zentrale Frage offen: Wer sollte Zugriff auf KI‑Systeme haben, die kritische Software‑Schwachstellen automatisch entdecken – und möglicherweise auch ausnutzen können?

Wie Unternehmen und Regierungen diese Frage beantworten, dürfte maßgeblich beeinflussen, wie sich die globale Cybersicherheitslandschaft im Zeitalter leistungsfähiger KI entwickelt.