Anthropic weitet Project Glasswing massiv aus: Claude-Mythos-KI spürt über 10.000 Schwachstellen auf und schützt nun Energie, Wasser und Gesundheit

Die Logik dahinter ist so einfach wie zwingend: Anthropic schätzt, dass ein erfolgreicher Cyberangriff auf eine dieser kritischen Gruppen ein erhebliches systemisches Risiko auslösen könnte. Indem das Unternehmen sein stärkstes Sicherheitswerkzeug direkt in die Hände der Organisationen legt, die lebenswichtige Dienstleistungen betreiben, setzt es darauf, dass eine proaktive Verteidigung im großen Maßstab böswillige Akteure ausstechen kann .

Konkrete Namen aus der neuen Runde veranschaulichen die globale Reichweite und strategische Tiefe des Programms. BeyondTrust, ein führender Anbieter im Bereich privileg-zentrierter Identitätssicherheit, trat am 8. Juni 2026 bei. Dessen Codebasis ist tief in Regierungen und wichtigen Diensten verwurzelt, und der Zugang zu Mythos Preview wird genutzt, um die Entdeckung und Behebung von Schwachstellen im gesamten Produktportfolio zu beschleunigen .

Wenige Tage zuvor, am 5. Juni, gab Hitachi seine Teilnahme bekannt. Der japanische Industriegigant wird Mythos Preview auf seine sozialen Infrastruktur-Software anwenden, das digitale Fundament unter Energienetzen, Verkehrsnetzen und städtischen Infrastruktursystemen .

Diese Partner reihen sich in eine bestehende Riege ein, zu der unter anderem Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA und US-Regierungsbehörden gehören. So entsteht eine branchenübergreifende Verteidigungskoalition, die historisch kaum Vorbilder hat .

Ein Modell, das die Regeln der Cybersicherheit sprengt

Die strategische Dringlichkeit hinter Project Glasswing ist eine direkte Reaktion auf die verblüffenden Fähigkeiten von Claude Mythos Preview, ein unveröffentlichtes Frontier-Modell, das Anthropics eigene Dokumentation als „auffallend leistungsfähig bei Computersicherheitsaufgaben“ beschreibt . Das Modell ist nicht bloß ein Assistent. Es agiert als autonomer Schwachstellenforscher und Exploit-Entwickler.

In internen Tests bestätigte Anthropic, dass Mythos Preview auf Anweisung eines Nutzers Zero-Day-Lücken in jedem großen Betriebssystem und jedem großen Webbrowser identifizieren und dann selbstständig funktionierende Exploits dafür konstruieren kann . Das Ausmaß seiner Ergebnisse stellt alle bisherigen Maßstäbe in den Schatten. In einem Vergleichstest mit Firefox 147 generierte Mythos Preview 181 funktionierende JavaScript-Shell-Exploits. Das vorherige Spitzenmodell, Claude Opus 4.6, schaffte zwei .

Bis Ende Mai 2026 hatten Project-Glasswing-Partner das Modell genutzt, um mehr als 10.000 Sicherheitslücken mit hohem oder kritischem Schweregrad zu identifizieren . Ein einziger früher Lauf bei Cloudflare förderte etwa 400 kritische Fehler zutage, während Mozilla die Erkenntnisse nutzte, um 271 Schwachstellen in Firefox 150 zu stopfen . In über 1.000 Open-Source-Projekten markierte das Modell 23.019 Probleme, wobei professionelle Sicherheitsexperten in einer manuell überprüften Stichprobe für 89 % den Schweregrad bestätigten .

Ein 27 Jahre alter Geist im maschinellen Code

Der vielleicht symbolträchtigste Fund von Mythos Preview ist eine Schwachstelle, die länger existierte, als viele Entwicklerkarrieren dauern. Das Modell spürte einen 27 Jahre alten Fehler in OpenBSD auf – einem Betriebssystem, das weltweit für seine fast schon sprichwörtliche Sicherheit bekannt ist. Konkret handelte es sich um eine Sicherheitslücke in der TCP-SACK-Implementierung, die es einem entfernten Angreifer mit nur zwei präparierten Netzwerkpaketen ermöglicht hätte, jeden Server zum Absturz zu bringen .

Jahrzehntelang hatten menschliche Auditoren den Code überprüft, automatisierte Fuzzing-Tools waren darauf angesetzt worden, und das Betriebssystem hatte seinen Ruf als eine der sichersten Plattformen der Welt gefestigt. Die spezifische Berechnung, die den Fehler aufspürte, kostete Anthropic weniger als 50 Dollar . Der Fund fügt sich in eine Reihe weiterer „Dinosaurier“-Bugs ein, darunter eine 17 Jahre alte Schwachstelle in FreeBSDs NFS-Implementierung (Network File System), die einem nicht authentifizierten Angreifer vollständige Root-Rechte über das Internet hätte gewähren können .

Ein globales Verteidigungsbündnis mit eingebauter Bremse

Anthropic hält Claude Mythos Preview mit Bedacht von der Öffentlichkeit fern. Das Unternehmen selbst warnte, dass ein mächtiges, allgemein verfügbares Modell mit diesen Fähigkeiten ein unkalkulierbares Risiko darstellen würde. Der Zugang ist daher strikt auf den einladungsbasierten Kreis von Project Glasswing beschränkt, und die Teilnehmer unterzeichnen strenge Nutzungsbedingungen, die eine offensive Nutzung verbieten .

Um die defensive Mission zu unterstreichen, stellt Anthropic den teilnehmenden Organisationen bis zu 100 Millionen US-Dollar an Nutzungsguthaben zur Verfügung. Diese decken die Rechenkosten für das Scannen ihrer Codebasen ab und machen die Teilnahme auch für gemeinnützige Open-Source-Projekte attraktiv . Zusätzlich fließen 4 Millionen Dollar als Spenden an Open-Source-Sicherheitsgruppen .

Die Expansion im Juni war ein strategischer Balanceakt. Sie holte gezielt Sektoren ins Boot, deren Software das Rückgrat der globalen Gesellschaft bildet, deren Sicherheitsbudgets aber oft nicht mit denen von Big Tech mithalten können. Mit Partnern wie Hitachi, die soziale Infrastrukturen steuern, und BeyondTrust, das privilegierte Identitäten in Regierungen und Gesundheitswesen schützt, positioniert sich das Programm als eine Art digitale Feuerwehr für das Internet-Zeitalter .